Ақпараттық қауіпсіздікті қамтамасыз ету және жедел iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдар салаларындағы тәуекел дәрежесін бағалау өлшемшарттары мен тексеру парақтарын бекіту туралы

Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2016 жылғы 25 қазандағы № 72 және Қазақстан Республикасы Ұлттық экономика министрінің 2016 жылғы 9 қарашадағы № 471 бірлескен бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылғы 13 желтоқсанда № 14509 болып тіркелді.

      Қазақстан Республикасының Кәсіпкерлік кодексі 141-бабының 5-тармағына және 143-бабының 1-тармағына сәйкес БҰЙЫРАМЫЗ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      1. Бекітілсін:

      1) осы бірлескен бұйрыққа 1-қосымшаға сәйкес ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы тәуекел дәрежесін бағалау өлшемшарттары;

      2) осы бірлескен бұйрыққа 2-қосымшаға сәйкес ақпараттарды криптографиялық қорғау құралдарын әзiрлеу жөніндегі қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы;

      3) осы бірлескен бұйрыққа 3-қосымшаға сәйкес ақпараттың таралып кетуіне жол беретін техникалық арналарды және жедел- іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралды анықтау бойынша қызмет көрсету саласындағы қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы;

      4) осы бірлескен бұйрыққа 4-қосымшаға сәйкес жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзiрлеу және өндіру жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы;

      5) осы бірлескен бұйрыққа 5-қосымшаға сәйкес жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды жөндеу және өткізу жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы;

      6) осы бірлескен бұйрыққа 6-қосымшаға сәйкес ақпараттық қауіпсіздіктің жедел орталығы қызметі шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы;

      7) осы бірлескен бұйрыққа 7-қосымшаға сәйкес ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты тексеру парағы.

      Ескерту. 1-тармақ жаңа редакцияда – ҚР Ұлттық қауіпсіздік комитеті Төрағасының 30.11.2018 № 97/қе және ҚР Ұлттық экономика министрінің 04.12.2018 № 94 (алғашқы ресми жарияланған күнінен кейін күнтiзбелiк он күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен; өзгеріс енгізілді - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      2. Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің Мемлекеттік құпияларды қорғау департаменті заңнамамен белгіленген тәртіпте:

      1) осы бірлескен бұйрықты Қазақстан Республикасы Әдiлет министрлiгiнде мемлекеттiк тiркеудi;

      2) осы бірлескен бұйрық мемлекеттiк тiркелген күннен бастап күнтізбелік он күн ішінде мерзімдік басылымдарда және "Әділет" ақпараттық-құқықтық жүйесінде жариялау, сонымен қатар, осы бірлескен бұйрық мемлекеттiк тiркелген күннен бастап, күнтізбелік он күн ішінде, Қазақстан Республикасы нормативтік құқықтық актілерін эталондық бақылау банкінде орналастыру үшін, Қазақстан Республикасы Әділет министрлігінің "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы Республикалық мемлекеттік кәсіпорнына жолдауды;

      3) осы бірлескен бұйрықты Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің интернет-ресурсында орналастыруды қамтамасыз етсін.

      3. Осы бірлескен бұйрықтың орындалуын бақылау Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің Мемлекеттік құпияларды қорғау департаментінің қызметіне жетекшілік ететін Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының орынбасарына жүктелсін.

      4. Осы бұйрық алғаш ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Ұлттық қауіпсіздік комитетінің
Төрағасы
Қазақстан РеспубликасыҰлттық экономика министрі______________ Қ.Бишімбаев
      ______________ К.Мәсімов

      "КЕЛІСІЛДІ"
Қазақстан Республикасы

      Бас прокуратурасының

      Құқықтық статистика

      және арнайы есепке алу жөніндегі

      комитетінің төрағасы

      ________________С. Айтпаева

      2016 жылғы 11 қараша

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№72 және
Қазақстан Республикасы
Ұлттық экономика министірінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
1-қосымша

Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы тәуекел дәрежесін бағалау өлшемшарттары

      Ескерту. 1-қосымша жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы тәуекел дәрежесін бағалау өлшемшарттары (бұдан әрі – Өлшемшарттар) Қазақстан Республикасының Кәсіпкерлік кодексі 141-бабының 5-тармағына, Қазақстан Республикасы Ұлттық экономика министрінің міндетін атқарушысының 2022 жылғы 22 маусымдағы № 48 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 28577 болып тіркелген) бекітілген Реттеуші мемлекеттік органдардың тәуекелдерді бағалау және басқару жүйесін қалыптастыру қағидаларына сәйкес берілген лицензиялар бойынша біліктілік талаптарына сәйкестігін тексеру мақсатында жүргізілетін тексерулер (бұдан әрі – талаптарға сәйкестігін тексеру).

      2. Осы Өлшемшарттарда мынадай ұғымдар пайдаланылады:

      1) бақылау субъектілері (объектілері) – ақпараттық қауіпсіздікті және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды қамтамасыз ету саласындағы қызметті жүзеге асыратын лицензиаттар;

      2) балл – тәуекелді есептеудің сандық өлшемі;

      3) болмашы бұзушылық – ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы нормативтік құқықтық актілерде белгіленген талаптардың бұзылуы, оның ішінде үшінші адамдарға лицензиардың келісімінсіз тұрақты немесе уақытша пайдалануға әзірленген әдістемелерді беру;

      4) деректерді қалыпқа келтіру – әртүрлі шәкілдерде өлшенген мәндерді шартты түрде жалпы шәкілге келтіруді көздейтін статистикалық рәсім;

      5) елеулі бұзушылық – ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы Қазақстан Республикасының заңнамасында белгіленген талаптардың бұзылуы, оның ішінде біліктілік талаптарына сәйкес келмеу: электрондық есептің белгіленген нысанға сәйкес келмеуі, әзірленген және бекітілген әдістемелердің болмауы, техникалық іздеу құралдарын беру тәртібінің бұзылуы, арнайы бөлінген өндіріс үй-жайының белгіленген талаптарға сәйкес келмеуі;

      6) өрескел бұзушылық – "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының кодексінде көзделген әкімшілік жауапкершілікті талап ететін ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларындағы Қазақстан Республикасының заңнамасында белгіленген талаптардың бұзылуы, атап айтқанда мынадай біліктілік талаптарына сәйкес келмеу: электрондық есепті ұсынбау, маманның болмауы, мәлімделінген қызмет түрін жүзеге асыру үшін арнайы бөлінген өндіріс үй-жайының болмауы, мемлекеттік құпияларды құрайтын мәліметтермен жұмыс жүргізуге рұқсаттың болмауы, ең аз қажетті жабдықтың болмауы, лицензиарға хабарлау тәртібінің бұзылуы, үшінші тұлғаларға әзірленген, өткізілетін немесе жөнделген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар және олардың құжаттарын беру тәртібінің бұзылуы;

      7) тәуекел – бақылау субъектісінің қызметі нәтижесінде жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне салдарларының ауырлық дәрежесін ескере отырып зиян келтіру ықтималдығы;

      8) тәуекелдерді бағалау және басқару жүйесі – тиісті қызмет салаларында тәуекелдің жол берілетін деңгейін қамтамасыз ете отырып, кәсіпкерлік еркіндігін шектеудің ең төменгі ықтимал дәрежесі мақсатында бақылау және қадағалау субъектісіне бару арқылы профилактикалық бақылауды және (немесе) талаптарға сәйкестігін тексерулерді кейіннен жүзеге асыру үшін бақылау және қадағалау субъектілерін тәуекел дәрежелері бойынша бөлу арқылы қолайсыз факторлардың туындау ықтималдығын азайтуға бағытталған, сондай-ақ нақты бақылау және қадағалау субъектісі (объектісі) үшін тәуекел деңгейін өзгертуге бағытталған басқарушылық шешімдерді қабылдау және (немесе) осындай бақылау және қадағалау субъектісін (объектісін) бақылау және қадағалау субъектісіне (объектісіне) бару арқылы профилактикалық бақылаудан және (немесе) талаптарға сәйкестігін тексеруден босату процесі;

      9) тәуекел дәрежесін бағалаудың объективті өлшемшарттары (бұдан әрі – объективті өлшемшарттар) – белгілі бір қызмет саласында тәуекел дәрежесіне байланысты және жеке бақылау субъектісіне (объектісіне) тікелей байланыссыз бақылау субъектілерін (объектілерін) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау өлшемшарттары;

      10) тәуекел дәрежесін бағалау өлшемшарттары – бақылау және қадағалау субъектісінің тікелей қызметімен, салалық даму ерекшеліктерімен және осы дамуға әсер ететін факторлармен байланысты, бақылау және қадағалау субъектілерін (объектілерін) тәуекелдің әртүрлі дәрежелеріне жатқызуға мүмкіндік беретін сандық және сапалық көрсеткіштердің жиынтығы;

      11) тәуекел дәрежесін бағалаудың субъективті өлшемшарттары (бұдан әрі – субъективті өлшемшарттар) – нақты бақылау субъектісінің (объектісінің) қызметі нәтижелеріне байланысты бақылау субъектілерін (объектілерін) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау өлшемшарттары;

      12) тексеру парағы – бақылау және қадағалау субъектілерінің (объектілерінің) қызметіне қойылатын, олардың сақталмауы жеке және заңды тұлғалардың, мемлекеттің заңды мүдделеріне қатер төндіруге алып келетін талаптар тізбесі.

2-тарау. Талаптарға сәйкестігіне тексеру жүргізу кезінде тәуекелдерді бағалау және басқару жүйесін қалыптастыру тәртібі

      3. Ақпараттық қауіпсіздікті және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды қамтамасыз ету салаларындағы талаптарға сәйкестігін тексеруді жүзеге асыру кезінде тәуекелдерді басқару мақсатында тәуекел дәрежесін бағалау өлшемшарттары бағалау өлшемшарттары бірнеше кезеңмен жүзеге асырылатын объективті және субъективті өлшемшарттарды айқындау (Шешімдерді мультиөлшемшартты талдау) арқылы қалыптастырылады.

      Бірінші кезеңде объективті өлшемшарттар бойынша бақылау субъектілерін (объектілерін) мынадай тәуекел дәрежелерінің біріне жатқызады:

      1) жоғары тәуекел;

      2) орташа тәуекел;

      3) төмен тәуекел.

      Жоғары, орташа және төмен тәуекел дәрежесіне жатқызылған бақылау субъектілерінің (объектілерінің) қызмет салалары үшін талаптарға сәйкестігіне тексеру және жоспардан тыс тексеру жүргізіледі.

      Екінші кезеңде субъективті өлшемшарттар бойынша бақылау субъектілерін (объектілерін) мынадай тәуекел дәрежелерінің біріне жатқызады:

      1) жоғары тәуекел;

      2) орташа тәуекел;

      3) төмен тәуекел.

      Тәуекел дәрежесінің көрсеткіштері бойынша субъективті өлшемшарттар бойынша бақылау субъектісі (объектісі):

      1) тәуекел дәрежесінің көрсеткіші 71-ден 100-ді қоса алғанға дейін болған кезде – тәуекелдің жоғары дәрежесіне;

      2) тәуекел дәрежесінің көрсеткіші 31-ден 70-ті қоса алғанға дейін болған кезде – тәуекелдің орташа дәрежесіне;

      3) тәуекел дәрежесінің көрсеткіші 0-ден 30-ды қоса алғанға дейін болған кезде – тәуекелдің төмен дәрежесіне жатқызылады.

      4. Ықтимал тәуекел мен проблеманың маңыздылығына, бұзушылықтың біржолғы немесе жүйелі сипатына, әрбір ақпарат көзі бойынша бұрын қабылданған шешімдерді талдауға байланысты реттеуші мемлекеттік органның тәуекел дәрежесін бағалау өлшемшарттарына сәйкес бұзушылық дәрежесіне – өрескел, елеулі және болмашы дәрежелерге сәйкес келетін субъективті өлшемшарттар айқындалады.

      Субъективті өлшемшарттарды қалыптастыру кезінде бұзушылық дәрежесі (өрескел, елеулі, болмашы) өрескел, елеулі, болмашы бұзушылықтардың белгіленген анықтамаларына сәйкес беріледі.

      5. Талаптарға сәйкестікті тексеру жүргізу үшін тәуекел дәрежесін бағалау өлшемшарттары объективті және субъективті өлшемшарттар арқылы қалыптастырылады.

1-параграф. Объективті өлшемшарттар

      6. Объективті өлшемшарттарды анықтау тәуекелді анықтау арқылы жүзеге асырылады.

      7. Объективті өлшемшарттар бойынша жедел-іздестіру іс-шараларын жүргізуге арналған ақпараттық қауіпсіздік және арнайы техникалық құралдар салаларындағы бақылау субъектілері (объектілері) жеке және заңды тұлғалардың, мемлекеттің заңды мүдделері үшін қолайсыз оқиғаның басталуына байланысты жоғары, орташа және төмен тәуекел дәрежесіне бөлінеді:

      1) тәуекелдің жоғары дәрежесіне жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзірлеу, өндіру, жөндеу және өткізу жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері), сондай-ақ ақпараттың таралып кетуінің техникалық арналарын және ақпараттық қауіпсіздік жедел орталығының қызметі аясындағы жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) жатады;

      2) тәуекелдің орташа дәрежесіне ақпараттың таралып кетуінің техникалық арналарын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері), сондай-ақ ақпараттың таралып кетуінің техникалық арналарын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) жатады;

      3) тәуекелдің төмен дәрежесіне ақпаратты криптографиялық қорғау құралдарын әзірлеу жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) жатады.

2-параграф. Субъективті өлшемшарттар

      8. Субъективті өлшемшарттарды анықтау келесі кезеңдерді қолдана отырып жүзеге асырылады:

      1) деректер базасын қалыптастыру және ақпарат жинау;

      2) ақпаратты талдау және тәуекелдерді бағалау.

      9. Деректер базасын қалыптастыру және ақпарат жинау Қазақстан Республикасының ақпараттық қауіпсіздікті қамтамасыз ету саласындағы заңнамасын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды бұзатын бақылау субъектілерін (объектілерін) анықтау үшін қажет.

      Тәуекел дәрежесін бағалау үшін келесі ақпарат көздері пайдаланылады:

      1) алдыңғы тексерулердің нәтижелері;

      2) бақылау субъектісі (объектісі) ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері.

      3) мемлекеттік органдар ұсынатын мәліметтерді талдау нәтижелері.

      10. Субъективті өлшемшарттарды талдау және бағалау бақылау субъектісінің (объектісінің) бақылау субъектісіне (объектісіне) қатысты неғұрлым ықтимал тәуекелі бар талаптарына сәйкестігіне тексеру жүргізуді шоғырландыруға мүмкіндік береді.

      Бұл ретте талдау және бағалау кезінде бақылаудың нақты субъектісіне (объектісіне) қатысты бұрын ескерілген және пайдаланылған субъективті өлшемшарттардың деректері не Қазақстан Республикасының заңнамасына сәйкес талап қою мерзімі өткен деректер қолданылмайды.

      Алдыңғы тексерудің қорытындылары бойынша берілген бұзушылықтардың талаптарға сәйкестігін толық көлемде жойған бақылау субъектілеріне қатысты мемлекеттік бақылаудың кезекті кезеңіне кестелер мен тізімдерді қалыптастыру кезінде оларды қосуға жол берілмейді.

      11. Бақылау субъектілері (объектілері) қызметіне қойылатын талаптарды бұзу дәрежесі, осы Өлшемшарттарға 1-қосымшаға сәйкес белгіленеді.

      12. Қолданылатын ақпарат көздерінің басымдығы және субъективті өлшемшарттар көрсеткіштерінің маңыздылығы тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесіне сәйкес белгіленеді:

      1) ақпаратты криптографиялық қорғау құралдарын әзірлеу бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 2-қосымшада келтірілген;

      2) ақпарат таралып кететін арналарды және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсаттық бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 3-қосымшада келтірілген;

      3) ақпараттық қауіпсіздіктің жедел орталығы қызметі шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсаттық бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 4-қосымшада келтірілген;

      4) ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсаттық бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 5-қосымшада келтірілген;

      5) жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзірлеу және өндіру бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсаттық бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 6-қосымшада келтірілген;

      6) жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды жөндеу және өткізу бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсаттық бақылау саласындағы субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі осы Өлшемшартқа 7-қосымшада келтірілген.

3-параграф. Тәуекелдерді бағалау және басқару жүйесін қалыптастыру ерекшеліктері

      13. Тәуекелдерді бағалау және басқару жүйесі бақылау субъектілерін (объектілерін) тәуекелдің нақты дәрежелеріне жатқызатын және графиктерді қалыптастыратын ақпараттық жүйелерді пайдалана отырып жүргізіледі.

      Тәуекелдерді бағалау мен басқарудың ақпараттық жүйесі болмаған кезде оларға қатысты талаптарға сәйкестігін тексеру жүзеге асырылатын бақылау субъектілері (объектілері) санының ең төменгі жол берілетін шегі ақпараттық қауіпсіздікті қамтамасыз ету салаларындағы осындай бақылау субъектілері мен жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар жалпы санының бес пайызынан аспауға тиіс.

3-тарау. Субъективті өлшемшарттар бойынша тәуекел дәрежесін есептеу тәртібі

      14. Субъективті өлшемшарттар бойынша тәуекел дәрежесінің көрсеткішін (R) есептеу алдыңғы тексерулер мен бақылау және қадағалау (SP) бойынша айқындалған субъективті өлшемшарттарға сәйкес бұзушылықтар бойынша тәуекел дәрежесінің көрсеткішін қорытындылау жолымен, деректер мәндерін 0-ден 100 балға дейінгі диапозонға қалыпқа келтіре отырып, автоматтандырылған режимде жүзеге асырылады.

      Rарал = SP + SC , мұнда

      Rарал – субъективті өлшемшарттар бойынша тәуекел дәрежесінің аралық көрсеткіші,

      SР – бұзушылықтар бойынша тәуекел дәрежесінің көрсеткіші,

      SC – осы Өлшемшарттардың 12-тармағына сәйкес айқындалған субъективті өлшемшарттар бойынша тәуекел дәрежесінің көрсеткіші.

      Есеп мемлекеттік бақылау әрбір саласының бақылау субъектілерінің (объектілерінің) біртекті тобының әрбір бақылау және қадағалау субъектісі (объектісі) бойынша жүргізіледі. Бұл ретте мемлекеттік бақылау мен қадағалаудың бір саласының бақылау субъектілерінің (объектілерінің) біртекті тобына жатқызылатын, бағаланатын бақылау субъектілерінің (объектілерінің) тізбесі деректерді кейіннен қалыпқа келтіру үшін іріктеу жиынтығын (іріктемені) құрайды.

      15. Алдыңғы тексерулер нәтижелері бойынша алынған деректер бойынша 0-ден 100-ге дейінгі балмен бағаланатын бұзушылықтар бойынша тәуекел дәрежесінің көрсеткіші қалыптастырылады.

      Осы Қағидалардың 11-тармағында көрсетілген ақпарат көздерінің кез келгені бойынша бір өрескел бұзушылық анықталған кезде бақылау субъектісіне 100 балл тәуекел дәрежесінің көрсеткіші теңестіріледі және оған қатысты талаптарға сәйкестігіне тексеру жүргізіледі.

      Бір өрескел бұзушылық анықталған кезде бақылау субъектісіне 100 тәуекел дәрежесінің көрсеткіші теңестіріледі және оған қатысты талаптарға сәйкестігіне тексеру жүргізіледі.

      Өрескел бұзушылықтар анықталмаған кезде тәуекел дәрежесінің көрсеткішін айқындау елеулі және елеусіз дәрежедегі бұзушылықтар бойынша жиынтық көрсеткішпен есептеледі.

      Елеулі бұзушылықтар көрсеткішін анықтау кезінде 0,7 коэффициенті қолданылады және бұл көрсеткіш мынадай формула бойынша есептеледі:

      SРз = (SР2 х 100/SР1) х 0,7

      мұнда:

      SРз – елеулі бұзушылықтардың көрсеткіші;

      SР1 – елеулі бұзушылықтардың талап етілетін саны;

      SР2 – анықталған елеулі бұзушылықтардың саны;

      Болмашы бұзушылықтардың көрсеткішін айқындау кезінде 0,3 коэффициенті қолданылады және бұл көрсеткіш мына формула бойынша есептеледі:

      SРн = (SР2 х 100/SР1) х 0,3

      мұнда:

      SРн – болмашы бұзушылықтардың көрсеткіші;

      SР1 – болмашы бұзушылықтардың талап етілетін саны;

      SР2 – анықталған болмашы бұзушылықтардың саны;

      Бұзушылықтар бойынша тәуекел дәрежесінің көрсеткіші (SР) 0-ден 100-ге дейінгі балл бойынша есептеледі және мына формула бойынша елеулі және болмашы бұзушылықтардың көрсеткіштерін қосу арқылы айқындалады:

      SР = SРз + SРн

      мұнда:

      SР – бұзушылықтар бойынша тәуекел дәрежесінің көрсеткіші;

      SРз – елеулі бұзушылықтардың көрсеткіші;

      SРн – болмашы бұзушылықтардың көрсеткіші.

      Бұзушылықтар бойынша тәуекел дәрежесі көрсеткішінің алынған мәні субъективті өлшемшарттар бойынша тәуекел дәрежесі көрсеткішінің есебіне енгізіледі.

      16. Осы Қағидалардың 12-тармағына сәйкес айқындалған субъективті өлшемшарттар бойынша тәуекел дәрежесінің көрсеткішін есептеу 0-ден 100 балға дейінгі шәкіл бойынша жүргізіледі және мынадай формула бойынша жүзеге асырылады:



      xi - субъективті өлшемшарт көрсеткіші,

      wi - субъективті өлшем көрсеткішінің үлес салмағы xi

      n – көрсеткіштер саны.

      Осы Қағидалардың 12-тармағына сәйкес айқындалған субъективті өлшемшарттар бойынша тәуекел дәрежесі көрсеткішінің алынған мәні субъективті өлшемшарттар бойынша тәуекел дәрежесі көрсеткішінің есебіне енгізіледі.

      17. R көрсеткіші бойынша субъектілер (объектілер) бойынша есептелген мәндер 0-ден 100 балға дейінгі диапазонға қалыпқа келтіріледі. Деректерді қалыпқа келтіру әрбір іріктемелі жиынтық (іріктеме) бойынша мынадай формула әдісін пайдалана отырып жүзеге асырылады:



      R – бақылау және қадағалау жеке субъектісінің (объектісінің) субъективті өлшемшарттар бойынша тәуекел дәрежесінің көрсеткіші (қорытынды),

      Rmax – бір іріктемелі жиынтыққа (іріктемеге) кіретін субъектілер (объектілер) бойынша субъективті өлшемшарттар бойынша тәуекел дәрежесінің шәкілі бойынша ең жоғарғы ықтимал мән (шәкілдің жоғарғы шекарасы),

      Rmin – бір іріктемелі жиынтыққа (іріктемеге) кіретін субъектілер (объектілер) бойынша субъективті өлшемшарттар бойынша тәуекел дәрежесінің шәкілі бойынша ең төменгі ықтимал мән (шәкілдің төменгі шекарасы),

      Rпром – осы Қағидалардың 14-тармағына сәйкес есептелген субъективті өлшемшарттар бойынша тәуекел дәрежесінің аралық көрсеткіші.

      18. Тәуекелдің жоғары дәрежесіне жатқызылған бақылау субъектілері (объектілері) қызметінің салалары үшін талаптарға сәйкестігіне тексеру жылына ең көбі бір рет айқындалады.

      Тәуекелдің орташа дәрежесіне жатқызылған бақылау субъектілері (объектілері) қызметінің салалары үшін талаптарға сәйкестігіне тексерулер ең көбі екі жылда бір рет айқындалады.

      Тәуекелдің төмен дәрежесіне жатқызылған бақылау субъектілері (объектілері) қызметінің салалары үшін талаптарға сәйкестігіне тексерулер ең көбі үш жылда бір рет айқындалады.

  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
1-қосымша

Бақылау субъектілері (объектілері) қызметіне қойылатын талаптарды бұзу дәрежелері

Р/с №

Өлшемшарттар

Бұзушылық дәрежесі

Ақпараттарды криптографиялық қорғау құралдарын әзiрлеу жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) үшін (ауырлық дәрежесі төменде көрсетілген талаптар сақталмаған жағдайда белгіленеді)

1

"Математика", "Физика", "Информатика", "Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары", "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман

өрескел

2

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)

өрескел

3

Үй-жайды:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықтау

елеулі

4

Лицензиарды міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын ақпаратты криптографиялық қорғау құралдарын әзiрлеуге жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

5

Лицензиарды кемінде бес жұмыс күн ішінде дербес (өз қаражаты есебінен) әзірленген ақпаратты криптографиялық қорғау құралдары туралы хабардар ету

өрескел

Ақпараттың таралып кетуіне жол беретін техникалық арналарды және жедел-iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсету саласындағы қызметті жүзеге асыратын бақылау субъектісі (объектісі) үшін (ауырлық дәрежесі төменде көрсетілген талаптар сақталмаған жағдайда белгіленеді)

1

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман

өрескел

2

Техникалық іздестіру құралдарының ең аз жинағының болуы:
1) желілік емес локатор (желілік емес ауысулардың детекторы);
2) көп функционалдық іздестіру аспабы;
3) ұтқыр/тұрақты радиомониторинг кешені немесе сканерлейтін радиоқабылдағыш құрылғы;
4) алып жүретін радиопеленгатор;
5) жасырын бейне камераларды тапқыш;
6) стетоскоп;
7) тексеріп қарау айналарының жиынтығы және эндоскоп;
8) сым-өткізгіш желілерді талдаушы;
9) тепловизор

өрескел

3

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)

өрескел

4

Үй-жай:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықталуы

елеулі

5

Лицензиармен келісім бойынша лицензиат әзірлеген және бекіткен:
1) үй-жайлар мен техникалық құралдарда ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды айқындау бойынша жұмыс жүргізу әдістемесінің;
2) үй-жайлар мен техникалық құралдардың ақпараттың техникалық арналар бойынша таралып кетуінен қорғалу тиімділігін бағалау әдістемесінің болуы

елеулі

6

Техникалық іздестіру құралдарын үшінші адамдарға тұрақты немесе уақытша пайдалануға тек лицензиардың келісімімен беру

өрескел

7

Әзірленген әдістемелерді үшінші адамдарға тұрақты немесе уақытша пайдалануға тек лицензиардың келісімімен беру

болмашы

8

Лицензиарды жұмыстарды орындауды бастағанға дейін кемінде бес жұмыс күні бұрын ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын анықтау жөніндегі қызмет көрсету бойынша (оның ішінде лицензиаттың өз мұқтаждықтарын қамтамасыз ету мақсатында) жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

9

Лицензиарды анықтау фактісінен кейін үш күн ішінде, қызмет көрсету барысында анықталған жедел-іздестіру шараларын өткізу үшін арналған арнайы техникалық құралдары туралы хабардар ету

өрескел

Ақпараттық қауіпсіздіктің жедел орталығының қызметі шеңберінде жедел-іздестіру іс-шараларын жүргізуге арналған ақпараттың таралып кетуінің техникалық арналарын және арнайы техникалық құралдарды анықтау бойынша қызметтер көрсету жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) үшін (ауырлық дәрежесі төменде көрсетілген талаптар сақталмаған жағдайда белгіленеді)

1

Жоғары немесе кәсіптік техникалық білімі бар, қайта даярлаудан өткен, ақпараттық қауіпсіздік бағыттары бойынша біліктілігін арттырған мамандардың болуы:
1) ақпараттық қауіпсіздік (ақпаратты қорғау) бейіні бойынша жоғары және (немесе) кәсіптік техникалық білімі туралы дипломдары бар кемінде үш маман;
2) ISO 27001 халықаралық стандартының талаптарына аудит бағыты бойынша сертификаттары бар кемінде екі маман;
3) компьютерлік криминалистика саласы бойынша кемінде бір маман (мысалы, EC-Council Certified Security Analyst, giac Certified Forensic Analyst және басқалар);
4) кері инжиниринг және (немесе) зиянды бағдарламаларды талдау бағыты бойынша кемінде бір маман (мысалы, GIAC Reverse Engineering Malware және басқалары);
5) этикалық хакинг және (немесе)енуге тестілеу бағыты бойынша кемінде бір маман (мысалы, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester және басқалар);
6) серверлік операциялық жүйелерді әкімшілендіру бағыты бойынша кемінде екі маман (мысалы, Red Hat Certified System Administrator, Microsoft Certified Solutions Associate және басқалары)

өрескел

2

Іздеу құралдарының ең аз жиынтығының болуы:
1) next-generation Firewall немесе unified threat management сыныбының шешімі;
2) жұмыс станцияларындағы қатерлерді анықтау және оларға ден қою жүйесі (Endpoint Threat Detection and Response);
3) қауіптерді белсенді іздеу және анықтау құралы (Threat Hunting);
4) ақпараттың таралып кетуіне жол бермеу құралы (DLP);
5) Ақпараттық қауіпсіздік оқиғаларын басқару жүйесі (SIEM);
6) инциденттерге ден қою платформасы (IRP);
7) қауіптер туралы ақпаратты басқару платформасы (Threat Intelligence Platform);
8) "құмсалғыш" үлгісіндегі зиянды бағдарламаларды динамикалық талдау құралы;
9) желілік сканер;
10) осалдық сканері;
11) веб-қосымшалардың осалдығын сканерлеу;
12) осалдықтарды пайдалану құралы;
13) бағытталған антеннасы бар сыртқы Wi-Fi адаптері

өрескел

3

Арнайы бөлінген үй-жай (меншік құқығында немесе өзге де заңды негізде)

өрескел

4

Үй-жайды күзет және өрт дабылының Автоматты жүйелерімен жабдықтау

елеулі

5

Мынадай жағдайларда қызметті жүзеге асыру:
1) ақпараттық қауіпсіздіктің жедел орталығының ақпараттың таралып кетуінің техникалық арналарын және арнайы техникалық құралдарды анықтау бойынша қызметтер көрсетудің лицензиармен келісу бойынша лицензиат әзірлеген және бекіткен әдістемесінің болуы;
2) мәлімделген қызмет түрін ақпараттың таралып кетуінің техникалық арналарын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөніндегі қызметтер көрсету әдістемесіне, ақпараттық қауіпсіздіктің жедел орталығына толық сәйкес жүзеге асыру

елеулі

6

Лицензиарды жұмыстарды орындау басталғанға дейін кемінде бес жұмыс күні бұрын ақпараттық қауіпсіздік жедел орталығымен (оның ішінде лицензиаттың өз мұқтажын қамтамасыз ету мақсатында) ақпаратты таратудың техникалық арналарын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметтер көрсетуге жасалған шарттар (келісімшарттар) туралы хабардар ету

елеулі

Ақпараттық қауіпсіздік инциденттеріне ден қою қызметі шеңберінде жедел-іздестіру іс-шараларын жүргізуге арналған ақпараттың таралып кетуінің техникалық арналарын және арнайы техникалық құралдарды анықтау жөніндегі қызметті жүзеге асыратын бақылау субъектілері (объектілері) үшін (ауырлық дәрежесі төменде көрсетілген талаптар сақталмаған жағдайда белгіленеді)

1

Жоғары немесе кәсіптік техникалық білімі бар, қайта даярлаудан өткен, ақпараттық қауіпсіздік бағыттары бойынша біліктілігін арттырған мамандардың болуы:
1) ақпараттық қауіпсіздік (ақпаратты қорғау) бейіні бойынша жоғары және (немесе) кәсіптік техникалық білімі туралы дипломдары бар кемінде үш маман;
2) ISO 27001 халықаралық стандартының талаптарына аудит бағыты бойынша сертификаттары бар кемінде екі маман;
3) компьютерлік криминалистика саласы бойынша кемінде бір маман (мысалы, EC-Council Certified Security Analyst, giac Certified Forensic Analyst және басқалар);
4) кері инжиниринг және (немесе) зиянды бағдарламаларды талдау бағыты бойынша кемінде бір маман (мысалы, GIAC Reverse Engineering Malware және басқалары);
5) этикалық хакинг және (немесе)енуге тестілеу бағыты бойынша кемінде бір маман (мысалы, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester және басқалар)

өрескел

2

Іздеу құралдарының ең аз жиынтығының болуы:
1) инциденттерге жауап беру платформасы (IRP);
2) қауіптер туралы ақпаратты басқару платформасы (Threat Intelligence Platform);
3) зиянды бағдарламаларды статикалық талдау құралы;
4) "құмсалғыш" үлгісіндегі зиянды бағдарламаларды динамикалық талдау құралы

өрескел

3

Арнайы бөлінген үй-жай (меншік құқығында немесе өзге де заңды негізде)

өрескел

4

Үй-жайды күзет және өрт дабылының автоматты жүйелерімен жабдықтау

елеулі

5

Қызметті жүзеге асыру шартымен:
1) ақпараттық қауіпсіздік инциденттеріне ден қою қызметінің жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдардың ақпараттың таралып кетуінің техникалық арналарын анықтау жөнінде лицензиармен келісім бойынша лицензиат әзірлеген және бекіткен қызметтер көрсету әдістемесінің болуы;
2) ақпараттық қауіпсіздік инциденттеріне ден қою қызметінің жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдардың ақпараттың таралып кетуінің техникалық арналарын анықтау бойынша қызметтер көрсету әдістемесіне толық сәйкес мәлімделген қызмет түрін жүзеге асыруы

елеулі

6

Лицензиарды жұмыстарды орындау басталғанға дейін кемінде бес жұмыс күні бұрын ақпараттық қауіпсіздік инциденттеріне ден қою қызметі (оның ішінде лицензиаттың өз мұқтажын қамтамасыз ету мақсатында) ақпараттың таралып кетуінің техникалық арналарын және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметтер көрсетуге жасалған шарттар (келісімшарттар) туралы хабардар ету

елеулі

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзiрлеу, өндіру, жөндеу және өткізу жөнiндегi қызметті жүзеге асыратын бақылау субъектісі (объектісі) үшін (ауырлық дәрежесі төменде көрсетілген талаптар сақталмаған жағдайда белгіленеді)

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзiрлеу және өндіру жөнiндегi қызметтің кіші түрі

1

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман

өрескел

2

Қажетті техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) жиілік өлшегіш;
6) жоғары жиілікті сигналдардың генераторы;
7) төменгі жиілікті сигналдардың генераторы;
8) тоқ күші мен кернеуі реттелетін тұрақты тоқ көзі;
9) реттелетін айнымалы кернеу көзі (автотрансформатор);
10) өріс индикаторы;
11) дәнекерлейтін станция

өрескел

3

Қызметтің мәлімделген түрін жүзеге асыруға арналған арнайы бөлінген өндірістік үй-жай (меншік құқығында немесе өзге де заңды негізде)

өрескел

4

Әзірленетін және өндірілген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды сақтауға арналған арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)

өрескел

5

Үй-жай:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) кемінде бір мөрленетін темір шкафпен жабдықталуы

елеулі

6

Мынадай жағдайларда жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын әзірлеуді жүзеге асыру:
1) жедел іздестіру қызметін жүзеге асыратын орган бекіткен және лицензиармен келісілген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын әзірлеуге техникалық тапсырманың болуы;
2) лицензиарға әзірленген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарының тәжірибелік үлгісін ғылыми-техникалық сараптама жүргізу үшін ұсыну

елеулі

7

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды өндіруді мынадай шарттармен жүзеге асыру:
1) жедел іздестіру қызметін жүзеге асыратын орган бекіткен және лицензиармен келісілген өндірілетін жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарға конструкторлық құжаттаманың болуы;
2) жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарының тәжірибелік үлгісіне ғылыми-техникалық сараптама жүргізу қорытындылары бойынша лицензиардың оң қорытындысының болуы

елеулі

8

Меншік нысанына қарамастан үшінші адамдарға әзірленген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын, сондай-ақ оған қатысты құжаттамаларды лицензиармен келісім бойынша тұрақты немесе уақытша пайдалануға беру

өрескел

9

Мәлімделген қызмет түрі бойынша Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жүргізуге Қазақстан Республикасының ұлттық қауіпсіздік органдары беретін рұқсаттың болмауы

өрескел

10

Лицензиарды міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын әзірлеуге жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

11

Лицензиарды міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын өндіруге жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

Жедел iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды жөндеу және өткізу жөнiндегi қызметтің кіші түрі

1

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман

өрескел

2

Техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) жиілік өлшегіш;
6) жоғары жиілікті сигналдардың генераторы;
7) төменгі жиілікті сигналдардың генераторы;
8) тоқ күші мен кернеуі реттелетін тұрақты тоқ көзі;
9) реттелетін айнымалы кернеу көзі (автотрансформатор);
10) өріс индикаторы;
11) дәнекерлейтін станция

өрескел

3

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар саласында мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)

өрескел

4

Үй-жайды:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықтау

елеулі

5

Өткізілетін немесе жөнделетін жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын, сондай-ақ оған құжаттаманы меншік нысандарына қарамастан үшінші тұлғаларға тек лицензиардың келісімі бойынша тұрақты немесе уақытша пайдалануға беру

өрескел

6

Мәлімделген қызмет түрі бойынша Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жүргізуге Қазақстан Республикасының ұлттық қауіпсіздік органдары беретін рұқсаттың болмауы

өрескел

7

Лицензиарды жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын өткізуге жасалған шарттар (келісімшарттар) бойынша міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын сатып алуға жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

8

Лицензиарды міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын жөндеуге жасалған шарттар (келісімшарттар) туралы хабардар ету

өрескел

  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
2-қосымша

Ақпаратты криптографиялық қорғау құралдарын әзірлеу бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні

1

2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

 
0 %

100 %

2

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

3

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
3-қосымша

Ақпараттың таралып кетуіне жол беретін техникалық арналарды және жедел-iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсетуді жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні


2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

2

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

3

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
4-қосымша

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні

3-шарты / мәні

4-шарты / мәні

1

2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

100

1 тоқсан

2 тоқсан

3 тоқсан

4 тоқсан

25 %

25 %

25 %

25 %

2

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



3

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
5-қосымша

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөнінде қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні

3-шарты / мәні

4-шарты / мәні

1

2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

100

1 тоқсан

2 тоқсан

3 тоқсан

4 тоқсан

25 %

25 %

25 %

25 %

2

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



3

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
6-қосымша

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды әзірлеу және өндіру бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні

1

2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

100

1 жартыжылдық

2 жартыжылдық

50 %

50 %

2

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

3

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды

0 %

100 %

  Ақпараттық қауіпсіздікті
қамтамасыз ету және жедел
іздестіру іс-шараларын
жүргізуге арналған арнайы
техникалық құралдар
салаларындағы тәуекел
дәрежесін бағалау
өлшемшарттарына
7-қосымша

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды жөндеу және өткізу бойынша қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы (Қазақстан Республикасы Кәсіпкерлік Кодексінің 138-бабына сәйкес) субъективті өлшемшарттар бойынша тәуекел дәрежесін айқындауға арналған субъективті өлшемшарттар тізбесі

Р/с №

Субъективті өлшемшарттар көрсеткіші

Субъективті өлшемшарт көрсеткіші бойынша ақпарат көзі

Маңыздылығы бойынша үлес салмағы, балл (барлығы 100 баллға дейін болуы тиіс),
wi

Шарттар / мәндер, xi

1-шарты / мәні

2-шарты / мәні

3-шарты / мәні

4-шарты / мәні

1

2

3

4

5

1

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

100

1 тоқсан

2 тоқсан

3 тоқсан

4 тоқсан

25 %

25 %

25 %

25 %

2

"Ақпараттық қауіпсіздікті қамтамасыз ету және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар салаларында қызметті жүзеге асыру үшін біліктілік талаптарын және оларға сәйкестікті растайтын құжаттар тізбесін бекіту туралы" Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2015 жылғы 30 қаңтардағы № 4 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10473 болып тіркелген) көзделген қызмет туралы есепті ұсынбау

Бақылау субъектісі ұсынатын есептілік пен мәліметтер мониторингінің нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



3

Лицензиатты қайта тіркеу, оның атауының немесе заңды адресінің өзгеру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



4

"Рұқсаттар және хабарламалар туралы" Заңның 34-бабымен беліленген тәртіпке сәйкес заңды тұлға-лицензиатты қайта құру фактісі

Мемлекеттік органдар мен ұйымдар ұсынатын мәліметтерді талдау нәтижелері

Талаптарға сәйкестігін тексеру
кестесіне енгізу

Анықталған жоқ

Анықталды



0 %

100 %



  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
2-қосымша

Ақпаратты криптографиялық қорғау құралдарын әзірлеу жөніндегі қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 2-қосымша жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      __________________________________________________________________________

      тексеруді тағайындау туралы акті ________________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      __________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі ______________________________________________________

      Орналасқан жерінің мекенжай _______________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

3

4

1.

"Математика", "Физика", "Информатика", "Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары", "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман



2.

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



3.

Үй-жайды:
1) терезелерін темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықтау



4.

Лицензиарды міндеттемелерді орындауды бастағанға дейін кемінде бес жұмыс күні бұрын ақпаратты криптографиялық қорғау құралдарын әзірлеуге жасалған шарттар (келісімшарттар) туралы хабардар ету



5.

Лицензиарды әзірленгеннен кейін бес жұмыс күнінен асырмай дербес (өз қаражаты есебінен) әзірленген ақпаратты криптографиялық қорғау құралдары туралы хабардар ету



      Лауазымды адам (адамдар) ________________________ ______________

      лауазымы                   қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау

      субъектісінің басшысы ___________________________ ______________

      лауазымы                   қолы

      _____________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
3-қосымша

Ақпараттың таралып кетуіне жол беретін техникалық арналарды және жедел-iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсету саласындағы қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 3-қосымшамен толықтырылды – ҚР Ұлттық қауіпсіздік комитеті Төрағасының 30.11.2018 № 97/қе және ҚР Ұлттық экономика министрінің 04.12.2018 № 94 (алғашқы ресми жарияланған күнінен кейін күнтiзбелiк он күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен; жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      _________________________________________________________________________

      Тексеруді тағайындау туралы акті _______________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      __________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі _______________________________________________________

      Орналасқан жерінің мекенжайы _____________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

5

6

1.

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман



2.

Техникалық іздестіру құралдарының ең аз жинағының болуы:
1) желілік емес локатор (желілік емес ауысулардың детекторы);
2) көп функционалдық іздестіру аспабы;
3) ұтқыр/тұрақты радиомониторинг кешені немесе сканерлейтін радиоқабылдағыш құрылғы;
4) көтеріп жүруге лайықталған радиопеленгатор;
5) жасырын бейне камераларды тапқыш;
6) стетоскоп;
7) тексеріп қарау айналарының жиынтығы және эндоскоп;
8) сым-өткізгіш желілерді талдаушы;
9) тепловизор



3.

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



4.

Үй-жайды:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықтау



5.

Әзірлеген және лицензиармен келісім бойынша лицензиат бекіткен:
1) ақпарат таралып кететін техникалық арналарды және үй-жайлар мен техникалық құралдарда жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын анықтау бойынша жұмыс жүргізу әдістемесінің;
2) ақпараттың техникалық арналар бойынша таралып кетуінен үй-жайлар мен техникалық құралдардың қорғану тиімділігін бағалау әдістемесінің болуы



6.

Техникалық іздестіру құралдарын үшінші адамдарға тұрақты немесе уақытша пайдалануға тек лицензиардың келісімімен беру



7.

Әзірленген әдістемелерді үшінші адамдарға тұрақты немесе уақытша пайдалануға тек лицензиардың келісімімен беру



8.

Лицензиарды жұмыстарды орындауды бастағанға дейін кемінде бес жұмыс күнінен бұрын ақпарат таралып кететін техникалық арналарды және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын анықтау бойынша қызмет көрсету жөнінде (соның ішінде лицензиаттың өз мұқтаждықтарын қамтамасыз ету мақсатында) жасалған шарттар (келісімшарттар) туралы хабардар ету



9.

Лицензиарды қызмет көрстеу барысында анықталған жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдар туралы анықтау фактісінен кейін үш жұмыс күні ішінде хабардар ету



      Лауазымды адам (адамдар) _________________________ ______________

      лауазымы                   қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау субъектісінің басшысы ____________________________ ______________

      лауазымы                         қолы

      _____________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
4-қосымша

Жедел iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды әзiрлеу және өндіру жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 4-қосымшамен толықтырылды – ҚР Ұлттық қауіпсіздік комитеті Төрағасының 30.11.2018 № 97/қе және ҚР Ұлттық экономика министрінің 04.12.2018 № 94 (алғашқы ресми жарияланған күнінен кейін күнтiзбелiк он күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен; жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      __________________________________________________________________________

      Тексеруді тағайындау туралы акті ____________________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      __________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі ______________________________________________________

      Орналасқан жерінің мекенжайы _____________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

5

6

1.

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман



2.

Қажетті техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) жиілік өлшегіш;
6) жоғары жиілікті сигналдардың генераторы;
7) төменгі жиілікті сигналдардың генераторы;
8) тоқ күші мен кернеуі реттелетін тұрақты тоқ көзі;
9) реттелетін айнымалы кернеу көзі (автотрансформатор);
10) өріс индикаторы;
11) дәнекерлейтін станция



3.

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген өндірістік үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



4.

Жедел iздестiру іс-шараларын жүргiзуге арналып әзірленетін және өндірілген арнайы техникалық құралдарын сақтауға арналған арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



5.

Үй-жайды:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) мөрленетін кемінде бір темір шкафпен жабдықтау



6

Жедел-iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарын әзірлеуді мынадай шарттармен жүзеге асыру:
1) жедел іздестіру қызметін жүзеге асыратын орган бекіткен және лицензиармен келісілген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын әзірлеуге техникалық тапсырманың болуы;
2) лицензиарға әзірленген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарының үлгісін ғылыми-техникалық сараптама жүргізу үшін ұсынуы тиіс



7.

Жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды өндіруді мынадай шарттармен жүзеге асыру:
1) жедел іздестіру қызметін жүзеге асыратын орган бекіткен және лицензиармен келісілген өндірілетін жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарға конструкторлық құжаттаманың болуы;
2) жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарының тәжірибелік үлгісіне ғылыми-техникалық сараптама жүргізу қорытындылары бойынша лицензиардың оң қорытындысының болуы



8.

Меншік нысанына қарамастан үшінші тұлғаларға тұрақты немесе уақытша пайдалануға әзірленген жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын, сондай-ақ оған қатысты құжаттамаларды тек лицензиардың келісімімен беру



9.

Мәлімделген қызмет түрі бойынша Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жүргізуге Қазақстан Республикасы ұлттық қауіпсіздік органдарының рұқсатының болмауы



10.

Лицензиарды шарт (келісімшарт) бойынша міндеттемелерін орындауға дейін бес жұмыс күнінен кем емес жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдары әзірлеуге жасалған шарттар (келісімшарттар) туралы хабардар ету



11.

Лицензиарды шарт (келісімшарт) бойынша міндеттемелерін орындауға дейін бес жұмыс күнінен кем емес жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдары өндіруге жасалған шарттардың (келісімшарттардың) жобалары туралы лицензиарды хабардар ету



      Лауазымды адам (адамдар) _________________________ ______________

      лауазымы                   қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау субъектісінің басшысы ____________________________ ______________

      лауазымы                         қолы

      _____________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
5-қосымша

Жедел iздестiру іс-шараларын жүргiзуге арналған арнайы техникалық құралдарды жөндеу және өткізу жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 5-қосымшамен толықтырылды – ҚР Ұлттық қауіпсіздік комитеті Төрағасының 30.11.2018 № 97/қе және ҚР Ұлттық экономика министрінің 04.12.2018 № 94 (алғашқы ресми жарияланған күнінен кейін күнтiзбелiк он күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен; жаңа редакцияда - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      __________________________________________________________________________

      Тексеруді тағайындау туралы акті ___________________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      __________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі _______________________________________________________

      Орналасқан жерінің мекенжайы _____________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

5

6

1.

"Автоматтандыру және басқару", "Ақпараттық жүйелер", "Есептеу техникасы және бағдарламалық қамтамасыз ету", "Математикалық және компьютерлік модельдеу", "Аспап жасау", "Электр энергетикасы", "Радиотехника, электроника және телекоммуникациялар", "Техникалық физика", "Ғарыш техникасы және технологиялары" мамандығы бойынша жоғары білімі бар маман немесе ұқсас шетелдік жоғары білімі бар маман



2.

Техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) жиілік өлшегіш;
6) жоғары жиілікті сигналдардың генераторы;
7) төменгі жиілікті сигналдардың генераторы;
8) тоқ күші мен кернеуі реттелетін тұрақты тоқ көзі;
9) реттелетін айнымалы кернеу көзі (автотрансформатор);
10) өріс индикаторы;
11) дәнекерлейтін станция



3.

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



4.

Үй-жайды:
1) терезелері темір тормен (егер үй-жай бірінші немесе соңғы қабаттарда орналасса);
2) автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;
3) құлыпталатын және мөрленетін темір есіктермен;
4) кемінде бір мөрленетін темір шкафпен жабдықтау



5.

Меншік нысанына қарамастан үшінші тұлғаларға тұрақты немесе уақытша пайдалануға өткізілетін немесе жөнделетін жедел-iздестiру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын, сондай-ақ оған қатысты құжаттамаларды тек лицензиардың келісімімен беру



6.

Мәлімделген қызмет түрі бойынша Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жүргізуге Қазақстан Республикасы ұлттық қауіпсіздік органдарының рұқсатының болмауы



7.

Лицензиарды жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдары өткізуге жасалған шарттар (келісімшарттар) бойынша міндеттемелерді орындауға дейін бес жұмыс күнінен бұрын жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдары сатып алуға жасалған шарттар (келісімшарттар) туралы хабардар ету



8.

Лицензиарды шарттар (келісімшарттар) бойынша міндеттемелерді орындауға дейін бес жұмыс күнінен бұрын жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдары жөндеуге жасалған шарттар (келісімшарттар) туралы хабардар ету



      Лауазымды адам (адамдар) ________________________ ______________

      лауазымы                   қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау субъектісінің басшысы ____________________________ ______________

      лауазымы                         қолы

      _____________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
6-қосымша

Ақпараттық қауіпсіздіктің жедел орталығы қызметі шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсету бойынша жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 6-қосымшамен толықтырылды - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      __________________________________________________________________________

      Тексеруді тағайындау туралы акті _____________________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      _________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі _______________________________________________________

      Орналасқан жерінің мекенжайы ______________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

3

4

1.

Ақпараттық қауіпсіздік бағыты бойынша қайта дайындаудан, біліктілікті арттырудан өткен жоғары немесе кәсіби техникалық білімі бар мамандардың болуы:
1) ақпараттық қауіпсіздік (ақпаратты қорғау) бейіні бойынша жоғары және (немесе) кәсіби техникалық білімі туралы дипломы бар үш маманнан кем емес;
2) ІSO 27001 халықаралық стандартының талаптарына аудит бағыты бойынша сертификаттары бар екі маманнан кем емес;
3) компьютерлік криминалистика (мысалы, EC-Councіl Certіfіed Securіty Analyst, GІAC Certіfіed Forensіc Analyst және басқалары) бағыты бойынша бір маманнан кем емес;
4) реверс инжиниринг және (немесе) зиянкес бағдарламаларды талдау (мысалы, GІAC Reverse Engіneerіng Malware және басқалары) бағыты бойынша бір маманнан кем емес;
5) этикалық хакинг және (немесе) енуге тестілеу (мысалы, Offensіve Securіty Certіfіed Professіonal, EC-Councіl Certіfіed Ethіcal Hacker, GІAC Penetratіon Tester және басқалары) бағыты бойынша бір маманнан кем емес;
6) серверлік операциялық жүйелерді әкімшілендіру (мысалы, Red Hat Certіfіed System Admіnіstrator, Mіcrosoft Certіfіed Solutіons Assocіate және басқалары) бағыты бойынша екі маманнан кем емес



2.

Техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) next-generatіon fіrewall немесе unіfіed threat management класының шешімі;
2) жұмыс станцияларында қауіп-қатерлерді анықтау жүйесі және оларға ден қою жүйесі (Endpoіnt Threat Detectіon and Response);
3) қауіп қатерлерді проактивті іздестурі және анықтау жүйесі (Threat Huntіng);
4) ақпарат таралуының алдын алу құралы (DLP);
5) ақпараттық қауіпсіздік оқиғаларын басқару жүйесі (SІEM);
6) оқиғаларға ден қою платформасы (ІRP);
7) қауіп-қатерлер туралы ақпаратты басқару платформасы (Threat Іntellіgence Platform);
8) зиянтасушы бағдарламаларды динамикалық талдау құралы "песочница";
9) желілік сканер;
10) осалдықтар сканері;
11) веб-қосымшалар осалдықтарын сканерлеу;
12) осалдықтарды қолдану құралы;
13) бағытталған антеннасы бар сыртқы Wі-Fі адаптер



3.

Мәлімделген қызмет түрін жүзеге асыру үшін арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



4.

Үй-жайды автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен;



5.

Мынадай жағдайларда қызметті жүзеге асыру:
1) лицензиармен келісім бойынша лицензиат әзірлеген және бекіткен ақпараттық қауіпсіздіктің жедел орталығымен ақпарат таралып кететін техникалық арналарды және арнайы техникалық құралдарын анықтау бойынша қызмет көрсету жөніндегі әдістемесінің болуы;
2) қызметтің өтініш берілген түрін ақпараттық қауіпсіздіктің жедел орталығы қызметі шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсету бойынша әдістемеге толық сәйкестікте жүзеге асыру



6.

Лицензиарды жұмыстарды орындауды бастағанға дейін кемінде бес жұмыс күні бұрын ақпараттық қауіпсіздіктің жедел орталығымен ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау бойынша қызмет көрсету жөнінде (соның ішінде лицензиаттың өз мұқтаждықтарын қамтамасыз ету мақсатында) жасалған шарттар (келісімшарттар) туралы хабардар ету



      Лауазымды адам (адамдар) ________________________ ______________

      лауазымы                   қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау субъектісінің басшысы ____________________________ ______________

      лауазымы                         қолы

      _____________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

  Қазақстан Республикасы
Ұлттық қауіпсіздік комитеті
Төрағасының
2016 жылғы 25 қазандағы
№ 72 және
Қазақстан Республикасы
Ұлттық экономика министрінің
2016 жылғы 9 қарашадағы
№ 471 бірлескен бұйрығына
7-қосымша

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөнінде қызмет көрсету бойынша жөнiндегi қызметті жүзеге асыратын бақылау субъектісіне (объектісіне) қатысты рұқсат беруді бақылау саласындағы тексеру парағы (Қазақстан Республикасы Кәсіпкерлік кодексінің 138-бабына сәйкес)

      Ескерту. 7-қосымшамен толықтырылды - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 24.05.2023 № 32/қе және ҚР Ұлттық экономика министрінің 25.05.2023 № 80 (алғашқы ресми жарияланған күнінен кейін он күнтізбелік күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      Тексеруді тағайындаған мемлекеттік орган

      __________________________________________________________________________

      Тексеруді тағайындау туралы акті _____________________________________________

      (№, күні)

      Бақылау субъектісінің (объектісінің) атауы

      __________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі), бизнес-

      сәйкестендіру нөмірі ________________________________________________________

      Орналасқан жерінің мекенжайы ______________________________________________

Талаптар тізбесі

Талаптарға сәйкес

Талаптарға сәйкес емес

1

2

5

6

1.

Ақпараттық қауіпсіздік бағыты бойынша қайта дайындаудан, біліктілікті арттырудан өткен жоғары немесе кәсіби техникалық білімі бар мамандардың болуы:
1) ақпараттық қауіпсіздік (ақпаратты қорғау) бейіні бойынша жоғары және (немесе) кәсіби техникалық білімі туралы дипломы бар үш маманнан кем емес;
2) ІSO 27001 халықаралық стандартының талаптарына аудит бағыты бойынша сертификаттары бар екі маманнан кем емес;
3) компьютерлік криминалистика (мысалы, EC-Councіl Certіfіed Securіty Analyst, GІAC Certіfіed Forensіc Analyst және басқалары) бағыты бойынша бір маманнан кем емес;
4) реверс нжиниринг және (немесе) зиянкес бағдарламаларды сараптау (мысалы, GІAC Reverse Engіneerіng Malware және басқалары) бағыты бойынша бір маманнан кем емес;
5) этикалық хакинг және (немесе) енуге тестілеу (мысалы, Offensіve Securіty Certіfіed Professіonal, EC-Councіl Certіfіed Ethіcal Hacker, GІAC Penetratіon Tester және басқалары) бағыты бойынша бір маманнан кем емес



2.

Техникалық құралдар мен бақылау-өлшеу жабдықтарының ең аз жинағының болуы:
1) оқиғаларға ден қою платформасы (ІRP);
2) қауіп-қатерлер туралы ақпаратты басқару платформасы (Threat Іntellіgence Platform);
3) зиянтасушы бағдарламаларды статикалық талдау құралы;
4) зиянтасушы бағдарламаларды динамикалық талдау құралы "песочница"



3.

Арнайы бөлінген үй-жайдың болуы (меншік құқығында немесе өзге де заңды негізде)



4.

Үй-жайды автоматтандырылған күзет және өрттен қорғау сигнализациясы жүйелерімен жабдықтау



5.

Мынадай жағдайларда қызметті жүзеге асыру:
1) лицензиармен келісім бойынша лицензиат әзірлеген және бекіткен ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметімен ақпарат таралып кететін техникалық арналарды және арнайы техникалық құралдарын анықтау бойынша қызмет көрсету жөніндегі әдістемесінің болуы;
2) қызметтің өтініш берілген түрін ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметінің іс-қимылы шеңберінде ақпарат таралып кететін техникалық арналарды және жедел іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарды анықтау жөнінде қызмет көрсету бойынша көрсетілген әдістемеге толық сәйкестікте жүзеге асыру



6.

Лицензиарды жұмыстарды орындауды бастағанға дейін кемінде бес жұмыс күні бұрын ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметімен ақпарат таралып кететін техникалық арналарды және жедел-іздестіру іс-шараларын жүргізуге арналған арнайы техникалық құралдарын анықтау ойынша қызмет көрсету жөнінде (соның ішінде лицензиаттың өз мұқтаждықтарын қамтамасыз ету мақсатында) жасалған шарттар (келісімшарттар) туралы хабардар ету



      Лауазымды адам (адамдар) ________________________ ______________

      лауазымы                   қолы

      __________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)

      Бақылау субъектісінің басшысы ____________________________ ______________

      лауазымы                         қолы

      ___________________________________________

      тегі, аты, әкесінің аты (болған жағдайда)


Об утверждении критериев оценки степени риска и проверочных листов в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

Совместный приказ Председателя Комитета национальной безопасности Республики Казахстан от 25 октября 2016 года № 72 и Министра национальной экономики Республики Казахстан от 9 ноября 2016 года № 471. Зарегистрирован в Министерстве юстиции Республики Казахстан 13 декабря 2016 года № 14509.

      В соответствии с пунктом 5 статьи 141 и пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан ПРИКАЗЫВАЕМ:

      Сноска. Преамбула - в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      1. Утвердить:

      1) критерии оценки степени риска в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, согласно приложению 1 к настоящему совместному приказу;

      2) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке средств криптографической защиты информации, согласно приложению 2 к настоящему совместному приказу;

      3) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, согласно приложению 3 к настоящему совместному приказу;

      4) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке и производству специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, согласно приложению 4 к настоящему совместному приказу;

      5) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, согласно приложению 5 к настоящему совместному приказу;

      6) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности согласно приложению 6 к настоящему совместному приказу;

      7) проверочный лист в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности согласно приложению 7 к настоящему совместному приказу.

      Сноска. Пункт 1 в редакции совместного приказа Председателя Комитета национальной безопасности РК от 30.11.2018 № 97/қе и Министра национальной экономики РК от 04.12.2018 № 94 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); с изменениями, внесенными совместным приказом Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      2. Департаменту по защите государственных секретов Комитета национальной безопасности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;

      2) направление копии настоящего совместного приказа на официальное опубликование в периодические печатные издания и информационно-правовую систему "Әділет" в течение десяти календарных дней со дня его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" Министерства юстиции Республики Казахстан для включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня государственной регистрации настоящего совместного приказа;

      3) размещение настоящего совместного приказа в интернет-ресурсе Комитета национальной безопасности Республики Казахстан.

      3. Контроль за исполнением настоящего совместного приказа возложить на заместителя Председателя Комитета национальной безопасности Республики Казахстан, курирующего деятельность Департамента по защите государственных секретов Комитета национальной безопасности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования.

Председатель
Комитета национальной безопасности
Республики Казахстан
________________ К. Масимов


Министр
национальной экономики
Республики Казахстан
_____________ К. Бишимбаев

      "СОГЛАСОВАН"
Председатель Комитета
по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан
________________С. Айтпаева
11 ноября 2016 года

  Приложение 1
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Критерии
оценки степени риска в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

      Сноска. Приложение 1 - в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Критерии оценки степени риска в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, (далее – Критерии) разработаны в соответствии с пунктом 5 статьи 141 Предпринимательского кодекса Республики Казахстан, Правилами формирования, регулирующими государственными органами системы оценки и управления рисками, утвержденными приказом исполняющего обязанности Министра национальной экономики Республики Казахстан от 22 июня 2022 года № 48 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 28577), с целью проведения проверок, проводимых на соответствие квалификационным требованиям по выданным лицензиям (далее – проверки на соответствие требованиям).

      2. В настоящих Критериях используются следующие понятия:

      1) субъекты (объекты) контроля – лицензиаты, осуществляющие деятельность в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий;

      2) балл – количественная мера исчисления риска;

      3) незначительное нарушение – нарушение требований, установленных нормативными правовыми актами в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в части передачи в постоянное или временное пользование разработанной методики третьим лицам без согласования с лицензиаром;

      4) нормализация данных – статистическая процедура, предусматривающая приведение значений, измеренных в различных шкалах, к условно общей шкале;

      5) значительное нарушение – нарушение требований, установленных законодательством Республики Казахстан в сферах информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в части несоответствия квалификационным требованиям: представление электронного отчета не по форме, предоставление недостоверных данных в электронном формате, отсутствие разработанных и утвержденных методик, нарушение порядка передачи поисковых технических средств, несоответствие помещения требованиям, предъявляемым к нему;

      6) грубое нарушение – нарушение требований, установленных законодательством Республики Казахстан в сферах информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, влекущих административную ответственность, предусмотренную Кодексом Республики Казахстан "Об административных правонарушениях", в части несоответствия квалификационным требованиям: непредставление электронного отчета, отсутствие специалиста, отсутствие специально выделенного помещения для осуществления заявленного вида деятельности, отсутствие разрешения на работу со сведениями, составляющими государственные секреты, отсутствие минимально необходимого оборудования, нарушение порядка уведомления лицензиара, нарушение порядка передачи разработанных, реализуемых или ремонтируемых специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, и документации к ним третьим лицам;

      7) риск – вероятность причинения вреда в результате деятельности субъекта контроля законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;

      8) система оценки и управления рисками – процесс принятия управленческих решений, направленных на снижение вероятности наступления неблагоприятных факторов путем распределения субъектов (объектов) контроля по степеням риска для последующего осуществления проверок на соответствие требованиям с целью минимально возможной степени ограничения свободы предпринимательства, обеспечивая при этом допустимый уровень риска в соответствующих сферах деятельности, а также направленных на изменение уровня риска для конкретного субъекта (объекта) контроля и (или) освобождения такого субъекта (объекта) контроля от проверок на соответствие требованиям;

      9) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта) контроля;

      10) критерии оценки степени риска – совокупность количественных и качественных показателей, связанных с непосредственной деятельностью субъекта контроля, особенностями отраслевого развития и факторами, влияющими на это развитие, позволяющих отнести субъекты (объекты) контроля к различным степеням риска;

      11) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от результатов деятельности конкретного субъекта (объекта) контроля;

      12) проверочный лист – перечень требований, предъявляемых к деятельности субъектов (объектов) контроля, несоблюдение которых влечет за собой угрозу законным интересам физических и юридических лиц, государства.

Глава 2. Порядок формирования системы оценки и управления рисками при проведении проверки на соответствие требованиям

      3. В целях управления рисками при осуществлении проверки на соответствие требованиям в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, критерии оценки степени риска формируются посредством поэтапного определения объективных и субъективных (Мультикритериальный анализ решений).

      На первом этапе по объективным критериям субъекты (объекты) контроля относят к одной из следующих степеней риска:

      1) высокий риск;

      2) средний риск;

      3) низкий риск.

      Для сфер деятельности субъектов (объектов) контроля, отнесенных к высокой, средней и низкой степени риска, проводятся проверка на соответствие требованиям и внеплановая проверка.

      На втором этапе по субъективным критериям субъекты (объекты) контроля относят к одной из следующих степеней риска:

      1) высокий риск;

      2) средний риск;

      3) низкий риск.

      По показателям степени риска по субъективным критериям субъект (объект) контроля относится:

      1) к высокой степени риска – при показателе степени риска от 71 до 100 включительно;

      2) к средней степени риска – при показателе степени риска от 31 до 70 включительно;

      3) к низкой степени риска – при показателе степени риска от 0 до 30 включительно.

      4. В зависимости от возможного риска и значимости проблемы, единичности или системности нарушения, анализа принятых ранее решений по каждому источнику информации определяются субъективные критерии, которые в соответствии с критериями оценки степени риска соответствуют степени нарушения: грубое, значительное и незначительное.

      При формировании субъективных критериев степень нарушения (грубое, значительное, незначительное) присваивается в соответствии с установленными определениями грубых, значительных, незначительных нарушений.

      5. Критерии оценки степени риска для проведения проверки на соответствие требованиям формируются посредством объективных и субъективных критериев.

Параграф 1. Объективные критерии

      6. Определение объективных критериев осуществляется посредством определения риска.

      7. По объективным критериям субъекты (объекты) контроля в сферах информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, распределяются на высокую, среднюю и низкую степени риска в зависимости от наступления неблагоприятного происшествия для законных интересов физических и юридических лиц, государства:

      1) к высокой степени риска относятся субъекты (объекты) контроля, осуществляющие деятельность по разработке, производству, ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также субъекты (объекты) контроля, осуществляющие деятельность по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности;

      2) к средней степени риска относятся субъекты (объекты) контроля, осуществляющие деятельность по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также субъекты (объекты) контроля, осуществляющие деятельность по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности;

      3) к низкой степени риска относятся субъекты (объекты) контроля, осуществляющие деятельность по разработке средств криптографической защиты информации.

Параграф 2. Субъективные критерии

      8. Определение субъективных критериев осуществляется с применением следующих этапов:

      1) формирование базы данных и сбор информации;

      2) анализ информации и оценка рисков.

      9. Формирование базы данных и сбор информации необходимы для выявления субъектов (объектов) контроля, нарушающих законодательство Республики Казахстан в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий.

      Для оценки степени риска используются следующие источники информации:

      1) результаты предыдущих проверок;

      2) результаты мониторинга отчетности и сведений, представляемых субъектом (объектом) контроля;

      3) результаты анализа сведений, представляемых государственными органами.

      10. Анализ и оценка субъективных критериев позволяют сконцентрировать проведение проверки на соответствие требованиям субъекта (объекта) контроля в отношении субъекта (объекта) контроля с наибольшим потенциальным риском.

      При этом при анализе и оценке не применяются данные субъективных критериев, ранее учтенные и использованные в отношении конкретного субъекта (объекта) контроля, либо данные, по которым истек срок исковой давности в соответствии с законодательством Республики Казахстан.

      В отношении субъектов контроля, устранивших в полном объеме выданные нарушения по итогам проведенной предыдущей проверки на соответствие требованиям, не допускается включение их при формировании графиков и списков на очередной период государственного контроля.

      11. Степени нарушений требований, предъявляемых к деятельности субъектов (объектов) контроля, устанавливаются согласно приложению 1 к настоящим Критериям.

      12. Приоритетность применяемых источников информации и значимость показателей субъективных критериев устанавливаются согласно перечню субъективных критериев для определения степени риска:

      1) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке средств криптографической защиты информации, приведен в приложении 2 к настоящим Критериям;

      2) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, приведен в приложении 3 к настоящим Критериям;

      3) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности, приведен в приложении 4 к настоящим Критериям;

      4) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности, приведен в приложении 5 к настоящим Критериям;

      5) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке и производству специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, приведен в приложении 6 к настоящим Критериям;

      6) перечень субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля в отношении субъектов (объектов) контроля, осуществляющих деятельность по ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, приведен в приложении 7 к настоящим Критериям.

Параграф 3. Особенности формирования системы оценки и управления рисками

      13. Система оценки и управления рисками ведется с использованием информационных систем, относящих субъекты (объекты) контроля к конкретным степеням риска и формирующих графики.

      При отсутствии информационной системы оценки и управления рисками минимально допустимый порог количества субъектов (объектов) контроля, в отношении которых осуществляется проверка на соответствие требованиям, не должен превышать пяти процентов от общего количества таких субъектов контроля в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий.

Глава 3. Порядок расчета степени риска по субъективным критериям

      14. Расчет показателя степени риска по субъективным критериям (R) осуществляется в автоматизированном режиме путем суммирования показателя степени риска по нарушениям по результатам предыдущих проверок субъектов (объектов) контроля (SP) и показателя степени риска по субъективным критериям (SC) с последующей нормализацией значений данных в диапазоне от 0 до 100 баллов.

      Rпром = SP + SC, где

      Rпром – промежуточный показатель степени риска по субъективным критериям,

      SР – показатель степени риска по нарушениям,

      SC – показатель степени риска по субъективным критериям, определенным в соответствии с пунктом 12 настоящих Критериев.

      Расчет производится по каждому субъекту (объекту) контроля однородной группы субъектов (объектов) контроля каждой сферы государственного контроля. При этом перечень оцениваемых субъектов (объектов) контроля, относимых к однородной группе субъектов (объектов) контроля одной сферы государственного контроля, образует выборочную совокупность (выборку) для последующей нормализации данных.

      15. По данным, полученным по результатам предыдущих проверок, формируется показатель степени риска по нарушениям, оцениваемый в баллах от 0 до 100.

      При выявлении одного грубого нарушения по любому из источников информации, указанных в пункте 11 настоящих Критериев, субъекту контроля приравнивается показатель степени риска 100 баллов и в отношении него проводится проверка на соответствие требованиям.

      При невыявлении грубых нарушений показатель степени риска рассчитывается суммарным показателем по нарушениям значительной и незначительной степени.

      При определении показателя значительных нарушений применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

      SРз = (SР2 х 100/SР1) х 0,7 ,

      где:

      SРз – показатель значительных нарушений;

      SР1 – требуемое количество значительных нарушений;

      SР2 – количество выявленных значительных нарушений.

      При определении показателя незначительных нарушений применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:

      SРн = (SР2 х 100/SР1) х 0,3 ,

      где:

      SРн – показатель незначительных нарушений;

      SР1 – требуемое количество незначительных нарушений;

      SР2 – количество выявленных незначительных нарушений.

      Показатель степени риска по нарушениям (SР) рассчитывается по шкале от 0 до 100 баллов и определяется путем суммирования показателей значительных и незначительных нарушений по следующей формуле:

      SР = SРз + SРн ,

      где:

      SР – показатель степени риска по нарушениям;

      SРз – показатель значительных нарушений;

      SРн – показатель незначительных нарушений.

      Полученное значение показателя степени риска по нарушениям включается в расчет показателя степени риска по субъективным критериям.

      16. Расчет показателя степени риска по субъективным критериям, определенным в соответствии с пунктом 12 настоящих Критериев, производится по шкале от 0 до 100 баллов и осуществляется по следующей формуле:



     

– показатель субъективного критерия,

     

– удельный вес показателя субъективного критерия


      n– количество показателей.

      Полученное значение показателя степени риска по субъективным критериям, определенным в соответствии с пунктом 12 настоящих Критериев, включается в расчет показателя степени риска по субъективным критериям.

      17. Рассчитанные по субъектам (объектам) значения по показателю нормализуются в диапазоне от 0 до 100 баллов. Нормализация данных осуществляется по каждой выборочной совокупности (выборке) с использованием следующей формулы:

     


      R– показатель степени риска (итоговый) по субъективным критериям отдельного субъекта (объекта) контроля,

     

– максимально возможное значение по шкале степени риска по субъективным критериям по субъектам (объектам), входящим в одну выборочную совокупность (выборку) (верхняя граница шкалы),

     

– минимально возможное значение по шкале степени риска по субъективным критериям по субъектам (объектам), входящим в одну выборочную совокупность (выборку) (нижняя граница шкалы),

     

– промежуточный показатель степени риска по субъективным критериям, рассчитанный в соответствии с пунктом 14 настоящих Критериев.

      18. Для сфер деятельности субъектов (объектов) контроля, отнесенных к высокой степени риска, проверка на соответствие требованиям проводится не чаще одного раза в год.

      Для сфер деятельности субъектов (объектов) контроля, отнесенных к средней степени риска, проверка на соответствие требованиям проводится не чаще одного раза в два года.

      Для сфер деятельности субъектов (объектов) контроля, отнесенных к низкой степени риска, проверка на соответствие требованиям проводится не чаще одного раза в три года.

  Приложение 1
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Степени нарушений требований, предъявляемых к деятельности субъектов (объектов) контроля

№ п/п

Критерии

Степень нарушений

Для субъектов (объектов) контроля, осуществляющих деятельность по разработке средств криптографической защиты информации (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)

1

Наличие специалиста, имеющего высшее образование по специальности "Математика", "Физика", "Информатика", "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", "Системы информационной безопасности", или специалиста, имеющего аналогичное зарубежное высшее образование

грубое

2

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)

грубое

3

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом

значительное

4

Уведомление лицензиара о заключенных договорах (контрактах) на разработку средств криптографической защиты информации не менее чем за пять рабочих дней до начала выполнения обязательств

грубое

5

Уведомление лицензиара о самостоятельно (за счет собственных средств) разработанных средств криптографической защиты информации не более чем за пять рабочих дней после разработки

грубое

Для субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)

1

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", или специалиста, имеющего аналогичное зарубежное высшее образование

грубое

2

Наличие минимального набора поисковых технических средств:
1) нелинейный локатор (детектор нелинейных переходов);
2) многофункциональный поисковый прибор;
3) мобильный/стационарный комплекс радиомониторинга или сканирующее радиоприемное устройство;
4) радиопеленгатор носимый;
5) обнаружитель скрытых видеокамер;
6) стетоскоп;
7) досмотровый комплект зеркал или эндоскоп;
8) анализатор проводных линий;
9) тепловизор

грубое

3

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)

грубое

4

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом

значительное

5

Наличие разработанной и утвержденной лицензиатом по согласованию с лицензиаром:
1) методики проведения работ по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в помещениях и технических средствах;
2) методики оценки эффективности защищенности помещений и технических средств от утечки информации по техническим каналам

значительное

6

Передача в постоянное или временное пользование поисковых технических средств третьим лицам только по согласованию с лицензиаром

грубое

7

Передача в постоянное или временное пользование разработанных методик третьим лицам только по согласованию с лицензиаром

незначительное

8

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ

грубое

9

Уведомление лицензиара о выявленных в ходе оказания услуг специальных технических средствах, предназначенных для проведения оперативно-розыскных мероприятий, в течение трех рабочих дней после факта выявления

грубое

Для субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)

1

Наличие специалистов, имеющих высшее или профессиональное техническое образование, прошедших переподготовку, повышение квалификации по направлениям информационной безопасности:
1) не менее трех специалистов, имеющих дипломы о высшем и (или) профессиональном техническом образовании по профилю информационной безопасности (защите информации);
2) не менее двух специалистов, имеющих сертификаты по направлению аудита требованиям международного стандарта ISO 27001;
3) не менее одного специалиста по направлению компьютерной криминалистики (например, EC-Council Certified Security Analyst, GIAC Certified Forensic Analyst и другие);
4) не менее одного специалиста по направлению реверс-инжиниринга и (или) анализа вредоносных программ (например, GIAC Reverse Engineering Malware и другие);
5) не менее одного специалиста по направлению этичного хакинга и (или) тестирования на проникновение (например, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester и другие);
6) не менее двух специалистов по направлению администрирования серверных операционных систем (например, Red Hat Certified System Administrator, Microsoft Certified Solutions Associate и другие)

грубое

2

Наличие минимального набора поисковых средств:
1) решение класса next-generation firewall или unified threat management;
2) система обнаружения угроз на рабочих станциях и реагирования на них (Endpoint Threat Detection and Response);
3) средство проактивного поиска и обнаружения угроз (Threat Hunting);
4) средство предотвращения утечки информации (DLP);
5) система управления событиями информационной безопасности (SIEM);
6) платформа реагирования на инциденты (IRP);
7) платформа управления информацией об угрозах (Threat Intelligence Platform);
8) средство динамического анализа вредоносных программ типа "песочница";
9) сетевой сканер;
10) сканер уязвимостей;
11) сканер уязвимостей веб-приложений;
12) средство эксплуатации уязвимостей;
13) внешний Wi-Fi адаптер с направленной антенной

грубое

3

Специально выделенное помещение (на праве собственности или иного законного основания)

грубое

4

Оборудование помещения автоматическими системами охранной и пожарной сигнализации

значительное

5

Осуществление деятельности при условии:
1) наличия разработанной и утвержденной лицензиатом по согласованию с лицензиаром методики оказания услуг по выявлению технических каналов утечки информации и специальных технических средств оперативным центром информационной безопасности;
2) осуществление заявленного вида деятельности в полном соответствии с методикой оказания услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, оперативным центром информационной безопасности

значительное

6

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, оперативным центром информационной безопасности (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ

значительное

Для субъектов (объектов) контроля, осуществляющих деятельность по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)

1

Наличие специалистов, имеющих высшее или профессиональное техническое образование, прошедших переподготовку, повышение квалификации по направлениям информационной безопасности:
1) не менее трех специалистов, имеющих дипломы о высшем и (или) профессиональном техническом образовании по профилю информационной безопасности (защите информации);
2) не менее двух специалистов, имеющих сертификаты по направлению аудита требованиям международного стандарта ISO 27001;
3) не менее одного специалиста по направлению компьютерной криминалистики (например, EC-Council Certified Security Analyst, GIAC Certified Forensic Analyst и другие);
4) не менее одного специалиста по направлению реверс-инжиниринга и (или) анализа вредоносных программ (например, GIAC Reverse Engineering Malware и другие);
5) не менее одного специалиста по направлению этичного хакинга и (или) тестирования на проникновение (например, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester и другие)

грубое

2

Наличие минимального набора поисковых средств:
1) платформа реагирования на инциденты (IRP);
2) платформа управления информацией об угрозах (Threat Intelligence Platform);
3) Средство статического анализа вредоносных программ;
4) Средство динамического анализа вредоносных программ типа "песочница"

грубое

3

Специально выделенное помещение (на праве собственности или иного законного основания)

грубое

4

Оборудование помещения автоматическими системами охранной и пожарной сигнализации

значительное

5

Осуществление деятельности при условии:
1) наличие разработанной и утвержденной лицензиатом по согласованию с лицензиаром методики оказания услуг по выявлению технических каналов утечки информации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности;
2) осуществление заявленного вида деятельности в полном соответствии с методикой оказания услуг по выявлению технических каналов утечки информации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности

значительное

6

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ

значительное

Для субъектов (объектов) контроля, осуществляющих деятельность по разработке, производству, ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)

Подвид деятельности по разработке и производству специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

1

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", или специалиста, имеющего аналогичное зарубежное высшее образование

грубое

2

Наличие минимального набора технических средств и контрольно-измерительного оборудования:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) частотомер;
6) генератор сигналов высокочастотный;
7) генератор сигналов низкочастотный;
8) источник постоянного тока с регулировкой силы тока и напряжения;
9) источник переменного регулируемого напряжения (автотрансформатор);
10) индикатор поля;
11) паяльная станция

грубое

3

Наличие специально выделенного производственного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)

грубое

4

Наличие специально выделенного помещения для хранения разрабатываемых и произведенных специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий (на праве собственности или ином законном основании)

грубое

5

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом

значительное

6

Осуществление разработки специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, на условиях:
1) наличия технического задания на разработку специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, утвержденного органом, осуществляющим оперативно-розыскную деятельность, и согласованного с лицензиаром;
2) предоставление лицензиару опытного образца разработанного специальных технических средств, предназначенного для проведения оперативно-розыскных мероприятий, для проведения его научно-технической экспертизы

значительное

7

Осуществление производства специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, на условиях:
1) наличия конструкторской документации на производимое специальное техническое средство, предназначенное для проведения оперативно-розыскных мероприятий, утвержденной органом, осуществляющим оперативно-розыскную деятельность, и согласованной с лицензиаром;
2) наличие положительного заключения лицензиара по итогам проведения научно-технической экспертизы опытного образца специального технического средства, предназначенного для проведения оперативно-розыскных мероприятий

значительное

8

Передача в постоянное или временное пользование разработанных специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также документации к ним третьим лицам вне зависимости от форм собственности только по согласованию с лицензиаром

грубое

9

Отсутствие разрешения органов национальной безопасности Республики Казахстан на работу со сведениями, составляющими государственные секреты Республики Казахстан, по заявленному виду деятельности

грубое

10

Уведомление лицензиара о заключенных договорах (контрактах) на разработку специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)

грубое

11

Уведомление лицензиара о заключенных договорах (контрактах) на производство специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)

грубое

Подвид деятельности по ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

1

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", или специалиста, имеющего аналогичное зарубежное высшее образование

грубое

2

Наличие минимального набора технических средств и контрольно-измерительного оборудования:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) частотомер;
6) генератор сигналов высокочастотный;
7) генератор сигналов низкочастотный;
8) источник постоянного тока с регулировкой силы тока и напряжения;
9) источник переменного регулируемого напряжения (автотрансформатор);
10) индикатор поля;
11) паяльная станция

грубое

3

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)

грубое

4

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом

значительное

5

Передача в постоянное или временное пользование реализуемых или ремонтируемых специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также документации к ним третьим лицам, вне зависимости от форм собственности только по согласованию с лицензиаром

грубое

6

Отсутствие разрешения органов национальной безопасности Республики Казахстан на работу со сведениями, составляющими государственные секреты Республики Казахстан, по заявленному виду деятельности

грубое

7

Уведомление лицензиара о заключенных договорах (контрактах) на приобретение специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту) на реализацию специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

грубое

8

Уведомление лицензиара о заключенных договорах (контрактах) на ремонт специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)

грубое

  Приложение 2
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке средств криптографической защиты информации

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /значение

условие 2/значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

2

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

3

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

  Приложение 3
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /значение

условие 2/значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

2

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

3

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

  Приложение 4
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /1 значение

условие 2/2 значение

условие 3/3 значение

условие 4/4 значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

 
100

За один квартал

За два квартала

За три квартала

За четыре квартала

25 %

50 %

75 %

100 %

2

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



3

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



  Приложение 5
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /1 значение

условие 2/2 значение

условие 3/3 значение

условие 4/4 значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

 
100

За один квартал

За два квартала

За три квартала

За четыре квартала

25 %

50 %

75 %

100 %

2

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



3

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



  Приложение 6
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке и производству специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /значение

условие 2/значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

 
100

За одно полугодие

За два полугодия

50 %

100 %

2

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

3

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено

0 %

100 %

  Приложение 7
к Критериям оценки степени
риска в сферах обеспечения
информационной безопасности
и специальных технических
средств, предназначенных для
проведения оперативно-
розыскных мероприятий

Перечень
субъективных критериев для определения степени риска по субъективным критериям в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

№ п/п

Показатель субъективного критерия

Источник информации по показателю субъективного критерия

Удельный вес по значимости, балл (в сумме не должен превышать 100 баллов),
wi

Условия /значения, xi

условие 1 /1 значение

условие 2/2 значение

условие 3/3 значение

условие 4/4 значение

1

2

3

4

5

1

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

 
100

За один квартал

За два квартала

За три квартала

За четыре квартала

25 %

50 %

75 %

100 %

2

Непредставление отчета деятельности, предусмотренного приказом Председателя Комитета национальной безопасности Республики Казахстан от 30 января 2015 года № 4 "Об утверждении квалификационных требований и перечня документов, подтверждающих соответствие им, для осуществления деятельности в сферах обеспечения информационной безопасности и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 10473)

Результаты мониторинга отчетности и сведений, представляемых субъектом контроля

 
Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



3

Факт перерегистрации лицензиата, изменения его наименования или юридического адреса

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

0

Факт



0 %

100 %



4

Факт реорганизации юридического лица-лицензиата в соответствии с порядком, определенным статьей 34 Закона "О разрешениях и уведомлениях"

Результаты анализа сведений, представляемых государственными органами и организациями

Включение в график проверок на соответствие требованиям

Не выявлено

Выявлено



0 %

100 %



  Приложение 2
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке средств криптографической защиты информации

      Сноска. Приложение 2 - в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
____________________________________________________________________
Акт о назначении проверки
____________________________________________________________________
                  (№, дата)
Наименование субъекта (объекта) контроля
____________________________________________________________________
Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля ___________________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалиста, имеющего высшее образование по специальности "Математика", "Физика", "Информатика", "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", "Системы информационной безопасности", или специалиста, имеющего аналогичное зарубежное высшее образование



2.

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)



3.

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом



4.

Уведомление лицензиара о заключенных договорах (контрактах) на разработку средств криптографической защиты информации не менее чем за пять рабочих дней до начала выполнения обязательств



5.

Уведомление лицензиара о самостоятельно (за счет собственных средств) разработанных средств криптографической защиты информации не более чем за пять рабочих дней после разработки



      Должностное(-ые) лицо(-а) _____________ ________________
                        (должность)             (подпись)
                        _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля _______________ ________________
                              (должность)             (подпись)
                        _____________________________________
                        (фамилия, имя, отчество (при его наличии)

  Приложение 3
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

      Сноска. Приказ дополнен приложением 3 в соответствии с совместным приказом Председателя Комитета национальной безопасности РК от 30.11.2018 № 97/қе и Министра национальной экономики РК от 04.12.2018 № 94 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
____________________________________________________________________
Акт о назначении проверки
____________________________________________________________________
                  (№, дата)
Наименование субъекта (объекта) контроля
____________________________________________________________________
Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля ___________________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии",
или специалиста, имеющего аналогичное зарубежное высшее образование



2.

Наличие минимального набора поисковых технических средств:
1) нелинейный локатор (детектор нелинейных переходов);
2) многофункциональный поисковый прибор;
3) мобильный/стационарный комплекс радиомониторинга или сканирующее радиоприемное устройство;
4) радиопеленгатор носимый;
5) обнаружитель скрытых видеокамер;
6) стетоскоп;
7) досмотровый комплект зеркал или эндоскоп;
8) анализатор проводных линий;
9) тепловизор



3.

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)



4.

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом



5.

Наличие разработанной и утвержденной лицензиатом по согласованию с лицензиаром:
1) методики проведения работ по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в помещениях и технических средствах;
2) методики оценки эффективности защищенности помещений и технических средств от утечки информации по техническим каналам



6.

Передача в постоянное или временное пользование поисковых технических средств третьим лицам только по согласованию с лицензиаром



7.

Передача в постоянное или временное пользование разработанной методики третьим лицам только по согласованию с лицензиаром



8.

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ



9.

Уведомление лицензиара о выявленных в ходе оказания услуг специальных технических средствах, предназначенных для проведения оперативно-розыскных мероприятий, в течение трех рабочих дней после факта выявления



      Должностное(-ые) лицо(-а) _____________ ________________
                        (должность)             (подпись)
                        _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля _______________ ________________
                              (должность)             (подпись)
                        _____________________________________
                        (фамилия, имя, отчество (при его наличии)

  Приложение 4
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72 и
Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по разработке и производству специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

      Сноска. Приказ дополнен приложением 4 в соответствии с совместным приказом Председателя Комитета национальной безопасности РК от 30.11.2018 № 97/қе и Министра национальной экономики РК от 04.12.2018 № 94 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
____________________________________________________________________
Акт о назначении проверки
____________________________________________________________________
                  (№, дата)
Наименование субъекта (объекта) контроля
____________________________________________________________________
Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля ___________________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", или специалиста, имеющего аналогичное зарубежное высшее образование



2.

Наличие минимального набора технических средств и контрольно-измерительного оборудования:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) частотомер;
6) генератор сигналов высокочастотный;
7) генератор сигналов низкочастотный;
8) источник постоянного тока с регулировкой силы тока и напряжения;
9) источник переменного регулируемого напряжения (автотрансформатор);
10) индикатор поля;
11) паяльная станция



3.

Наличие специально выделенного производственного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)



4.

Наличие специально выделенного помещения для хранения разрабатываемых и произведенных специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий (на праве собственности или ином законном основании)



5.

Оборудование помещений:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом



6.

Осуществление разработки специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, на условиях:
1) наличия технического задания на разработку специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, утвержденного органом, осуществляющим оперативно-розыскную деятельность, и согласованного с лицензиаром;
2) предоставление лицензиару опытного образца разработанного специального технического средства, предназначенного для проведения оперативно-розыскных мероприятий, для проведения его научно-технической экспертизы



7.

Осуществление производства специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, на условиях:
1) наличия конструкторской документации на производимое специальное техническое средство, предназначенное для проведения оперативно-розыскных мероприятий, утвержденной органом, осуществляющим оперативно-розыскную деятельность, и согласованной с лицензиаром;
2) наличие положительного заключения лицензиара по итогам проведения научно-технической экспертизы опытного образца специального технического средства, предназначенного для проведения оперативно-розыскных мероприятий



8.

Передача в постоянное или временное пользование разработанных специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также документации к ним третьим лицам, вне зависимости от форм собственности только по согласованию с лицензиаром



9.

Отсутствие разрешения органов национальной безопасности Республики Казахстан на работу со сведениями, составляющими государственные секреты Республики Казахстан, по заявленному виду деятельности



10.

Уведомление лицензиара о заключенных договорах (контрактах) на разработку специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)



11.

Уведомление лицензиара о заключенных договорах (контрактах) на производство специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)



      Должностное(-ые) лицо(-а) ___________ ________________
                        (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля ____________ ________________
                              (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

  Приложение 5
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по ремонту и реализации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий

      Сноска. Приказ дополнен приложением 5 в соответствии с совместным приказом Председателя Комитета национальной безопасности РК от 30.11.2018 № 97/қе и Министра национальной экономики РК от 04.12.2018 № 94 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); в редакции cовместного приказа Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
____________________________________________________________________
Акт о назначении проверки
____________________________________________________________________
                        (№, дата)

      Наименование субъекта (объекта) контроля
____________________________________________________________________
Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля ___________________________________________________

      Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалиста, имеющего высшее образование по специальности "Автоматизация и управление", "Информационные системы", "Вычислительная техника и программное обеспечение", "Математическое и компьютерное моделирование", "Приборостроение", "Электроэнергетика", "Радиотехника, электроника и телекоммуникации", "Техническая физика", "Космическая техника и технологии", или специалиста, имеющего аналогичное зарубежное высшее образование



2.

Наличие минимального набора технических средств и контрольно-измерительного оборудования:
1) мультиметр;
2) осциллограф;
3) вольтметр;
4) амперметр;
5) частотомер;
6) генератор сигналов высокочастотный;
7) генератор сигналов низкочастотный;
8) источник постоянного тока с регулировкой силы тока и напряжения;
9) источник переменного регулируемого напряжения (автотрансформатор);
10) индикатор поля;
11) паяльная станция



3.

Наличие специально выделенного помещения для осуществления заявленного вида деятельности (на праве собственности или ином законном основании)



4.

Оборудование помещения:
1) металлическими решетками на окнах (в случае, если помещение находится на первом или последнем этажах);
2) автоматическими системами охранной и пожарной сигнализации;
3) металлическими опечатываемыми дверями с запирающим устройством;
4) не менее одним опечатываемым металлическим шкафом



5.

Передача в постоянное или временное пользование реализуемых или ремонтируемых специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, а также документации к ним третьим лицам, вне зависимости от форм собственности только по согласованию с лицензиаром



6.

Отсутствие разрешения органов национальной безопасности Республики Казахстан на работу со сведениями, составляющими государственные секреты Республики Казахстан, по заявленному виду деятельности



7.

Уведомление лицензиара о заключенных договорах (контрактах) на приобретение специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту) на реализацию специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий



8.

Уведомление лицензиара о заключенных договорах (контрактах) на ремонт специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, не менее чем за пять рабочих дней до начала выполнения обязательств по договору (контракту)



      Должностное(-ые) лицо(-а) ___________ ________________
                        (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля ____________ ________________
                              (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

  Приложение 6
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности оперативного центра информационной безопасности

      Сноска. Совместный приказ дополнен приложением 6 в соответствии с cовместным приказом Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
______________________________________________________________

      Акт о назначении проверки
______________________________________________________________
                        (№, дата)

      Наименование субъекта (объекта) контроля
_______________________________________________________________

      Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля _______________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалистов, имеющих высшее или профессиональное техническое образование, прошедших переподготовку, повышение квалификации по направлениям информационной безопасности:
1) не менее трех специалистов, имеющих дипломы о высшем и (или) профессиональном техническом образовании по профилю информационной безопасности (защите информации);
2) не менее двух специалистов, имеющих сертификаты по направлению аудита требованиям международного стандарта ISO 27001;
3) не менее одного специалиста по направлению компьютерной криминалистики (например, EC-Council Certified Security Analyst, GIAC Certified Forensic Analyst и другие);
4) не менее одного специалиста по направлению реверс-инжиниринга и (или) анализа вредоносных программ (например, GIAC Reverse Engineering Malware и другие);
5) не менее одного специалиста по направлению этичного хакинга и (или) тестирования на проникновение (например, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester и другие);
6) не менее двух специалистов по направлению администрирования серверных операционных систем (например, Red Hat Certified System Administrator, Microsoft Certified Solutions Associate и другие)



2.

Наличие минимального набора поисковых средств:
1) решение класса next-generation firewall или unified threat management;
2) система обнаружения угроз на рабочих станциях и реагирования на них (Endpoint Threat Detection and Response);
3) средство проактивного поиска и обнаружения угроз (Threat Hunting);
4) средство предотвращения утечки информации (DLP);
5) система управления событиями информационной безопасности (SIEM);
6) платформа реагирования на инциденты (IRP);
7) платформа управления информацией об угрозах (Threat Intelligence Platform);
8) средство динамического анализа вредоносных программ типа "песочница";
9) сетевой сканер;
10) сканер уязвимостей;
11) сканер уязвимостей веб-приложений;
12) средство эксплуатации уязвимостей;
13) внешний Wi-Fi адаптер с направленной антенной



3.

Специально выделенное помещение (на праве собственности или иного законного основания)



4.

Оборудование помещения автоматическими системами охранной и пожарной сигнализации



5.

Осуществление деятельности при условии:
1) наличия разработанной и утвержденной лицензиатом по согласованию с лицензиаром методики оказания услуг по выявлению технических каналов утечки информации и специальных технических средств оперативным центром информационной безопасности;
2) осуществление заявленного вида деятельности в полном соответствии с методикой оказания услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, оперативным центром информационной безопасности



6.

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, оперативным центром информационной безопасности (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ



      Должностное(-ые) лицо(-а) ______________ ________________
                        (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля _______________ ________________
                              (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

  Приложение 7
к совместному приказу
Председателя Комитета
национальной безопасности
Республики Казахстан
от 25 октября 2016 года № 72
и Министра национальной
экономики Республики Казахстан
от 9 ноября 2016 года № 471

Проверочный лист
в области разрешительного контроля (в соответствии со статьей 138 Предпринимательского кодекса Республики Казахстан) в отношении субъектов (объектов) контроля, осуществляющих деятельность по оказанию услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, в рамках деятельности службы реагирования на инциденты информационной безопасности

      Сноска. Совместный приказ дополнен приложением 7 в соответствии с cовместным приказом Председателя Комитета национальной безопасности РК от 24.05.2023 № 32/қе и Министра национальной экономики РК от 25.05.2023 № 80 (вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования).

      Государственный орган, назначивший проверку
___________________________________________________________________

      Акт о назначении проверки
____________________________________________________________________
                        (№, дата)

      Наименование субъекта (объекта) контроля
____________________________________________________________________

      Индивидуальный идентификационный номер/бизнес-идентификационный номер субъекта
(объекта) контроля ___________________________________________________

      Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1.

Наличие специалистов, имеющих высшее или профессиональное техническое образование, прошедших переподготовку, повышение квалификации по направлениям информационной безопасности:
1) не менее трех специалистов, имеющих дипломы о высшем и (или) профессиональном техническом образовании по профилю информационной безопасности (защите информации);
2) не менее двух специалистов, имеющих сертификаты по направлению аудита требованиям международного стандарта ISO 27001;
3) не менее одного специалиста по направлению компьютерной криминалистики (например, EC-Council Certified Security Analyst, GIAC Certified Forensic Analyst и другие);
4) не менее одного специалиста по направлению реверс-инжиниринга и (или) анализа вредоносных программ (например, GIAC Reverse Engineering Malware и другие);
5) не менее одного специалиста по направлению этичного хакинга и (или) тестирования на проникновение (например, Offensive Security Certified Professional, EC-Council Certified Ethical Hacker, GIAC Penetration Tester и другие)



2.

Наличие минимального набора поисковых средств:
1) платформа реагирования на инциденты (IRP);
2) платформа управления информацией об угрозах (Threat Intelligence Platform);
3) Средство статического анализа вредоносных программ;
4) Средство динамического анализа вредоносных программ типа "песочница"



3.

Специально выделенное помещение (на праве собственности или иного законного основания)



4.

Оборудование помещения автоматическими системами охранной и пожарной сигнализации



5.

Осуществление деятельности при условии:
1) наличие разработанной и утвержденной лицензиатом по согласованию с лицензиаром методики оказания услуг по выявлению технических каналов утечки информации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности;
2) осуществление заявленного вида деятельности в полном соответствии с методикой оказания услуг по выявлению технических каналов утечки информации специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности



6.

Уведомление лицензиара о заключенных договорах (контрактах) на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для проведения оперативно-розыскных мероприятий, службой реагирования на инциденты информационной безопасности (в том числе в целях обеспечения собственных нужд лицензиата) не менее чем за пять рабочих дней до начала выполнения работ



      Должностное(-ые) лицо(-а) ______________ ________________
                        (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)

      Руководитель субъекта контроля _______________ ________________
                              (должность)             (подпись)

                              _____________________________________
                        (фамилия, имя, отчество (при его наличии)