Об утверждении критериев оценки степени риска и проверочных листов в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи Совместный приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 30 декабря 2015 года № 1275 и и.о. Министра национальной экономики Республики Казахстан от 31 декабря 2015 года № 841. Зарегистрирован в Министерстве юстиции Республики Казахстан 3 февраля 2016 года № 12990

В соответствии с пунктом 3 статьи 141 и пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан от 29 октября 2015 года ПРИКАЗЫВАЕМ: 

1. Утвердить:

1) Критерии оценки степени риска в области информатизации согласно приложению 1 к настоящему совместному приказу;

2) Критерии оценки степени риска в области связи согласно приложению 2 к настоящему совместному приказу;

3) Проверочный лист в сфере государственного контроля в области информатизации согласно приложению 3 к настоящему совместному приказу;

4) Проверочный лист в сфере государственного контроля в области связи, согласно приложению 4 к настоящему совместному приказу;

5) Проверочный лист в сфере государственного контроля за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи согласно приложению 5 к настоящему совместному приказу.

2. Признать утратившим силу:

1) совместный приказ Министра по инвестициям и развитию Республики Казахстан от 29 июня 2015 года № 735 и исполняющего обязанности Министра национальной экономики Республики Казахстан от 30 июня 2015 года № 494 «Об утверждении критериев оценки степени рисков в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 11891, опубликованный в информационно-правовой системе «Әділет» от 30 октября 2015 года);

2) совместный приказ Министра по инвестициям и развитию Республики Казахстан от 29 июня 2015 года № 734 и исполняющего обязанности Министра национальной экономики Республики Казахстан от 30 июня 2015 года № 493 «Об утверждении форм проверочных листов в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 11890, опубликованный в информационно-правовой системе «Әділет» от 30 октября 2015 года).

3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Қазанғап Т.Б.) обеспечить:

1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан направление его копии в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему «Әділет», а также в Республиканский центр правовой информации для внесения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего совместного приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;

4) в течение десяти рабочих дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего совместного приказа.

4. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.

5. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Исполняющий обязанности                  
Министра по инвестициям и               
развитию Республики                      
Казахстан                               
______________Ж. Касымбек 

Исполняющий обязанности

Министра национальной

экономики Республики

Казахстан

 ___________ М. Кусаинов

«СОГЛАСОВАН» 
Председатель Комитета по 
правовой статистике и 
специальным учетам Генеральной 
прокуратуры Республики Казахстан 
_______________ С. Айтпаева 
31 декабря 2015 год

1. Настоящие Критерии оценки степени риска в области информатизации (далее - Критерии) разработаны в соответствии Предпринимательским кодексом Республики Казахстан от 29 октября 2015 года для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.

2. В настоящих Критериях используются следующие понятия:

1) проверяемые субъекты в области информатизации (далее – проверяемые субъекты) – собственники или владельцы объектов информатизации;

2) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;

3) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);

4) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);

5) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.

3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.

4. Определение риска в области информатизации осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием информационных систем, интегрируемых с государственными информационными системами, а также содержащих персональные данные, которое может привести к незаконному распространению, использованию и обработке информации государственных органов, а также персональных данных путем несанкционированного доступа к информационным системам.

5. В области информатизации к высокой степени риска относятся проверяемые субъекты собственник или владелец объектов информатизации.

6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, собственник или владелец контрольно-кассовых машин, являющиеся компьютерной системой, собственник или владелец электронных информационных ресурсов, содержащих персональные данные.

7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.

8. Субъективные критерии разработаны на основании требований законодательства Республики Казахстан в области информатизации (далее – требования) перечисленных в проверочных листах, которые подразделены на три степени: грубая, значительная, незначительная и приведены в приложении к настоящим Критериям.

9. Грубое нарушение – нарушения, которые могут привести к неправомерному распространению и использованию информации государственных органов и персональные данные, а также ее искажение и утерю.

Значительное нарушение – нарушение требований информационной безопасности при эксплуатации информационной системы, интегрированной с государственной информационной системой, а также требований по сбору, обработке и хранению персональных данных, наличие двух или более подтвержденных жалоб или обращений в области информатизации.

Незначительное нарушение – отсутствие документов подтверждающих получение согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан, наличие одной подтвержденной жалобы или обращения в области информатизации.

10. Определение субъективных критериев осуществляется с применением следующих этапов:

1) формирование базы данных и сбор информации;

2) анализ информации и оценка рисков.