Приложение 1
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494
Критерии оценки степени риска в области информатизации
1. Настоящие Критерии оценки степени риска в области информатизации (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
2. В настоящих Критериях используются следующие понятия:
1) проверяемые субъекты в области информатизации (далее – проверяемые субъекты) – владельцы электронных информационных ресурсов, информационных систем;
2) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
3) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
4) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
5) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.
3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.
4. Определение риска в области информатизации осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием контрольно-кассовых машин и информационных систем, интегрируемых с государственными информационными системами, которое может привести к утечке информации государственных органов путем несанкционированного доступа к информационным системам, а также к отсутствию фискализации поступающих платежей на контрольно-кассовые машины являющиеся компьютерной системой.
5. В области информатизации к высокой степени риска относятся проверяемые субъекты аттестованные на соответствие требованиям информационной безопасности негосударственные информационные системы, интегрируемые с государственными информационными системами.
6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие заключения для включения в государственный реестр контрольно-кассовых машин контрольно-кассовые машины, являющиеся компьютерной системой.
7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.
8. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области информатизации.
Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
Для оценки степени рисков по субъективным критериям используются следующие источники информации:
1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области информатизации, отраженных в проверочных листах;
2) наличие и количество подтвержденных жалоб и обращений на проверяемых субъектов, поступивших от физических или юридических лиц, государственных органов.
10. Оценка степени риска проверяемых субъектов и отнесение их к высокой или проверяемых субъектов, не отнесенных к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;
2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 2 к настоящим Критериям.
11. Определение степени риска по каждому информационному источнику определяется следующим образом.
Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:
Рз – показатель нарушений значительной степени;
Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований значительной степени.
При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:
Рн – показатель нарушений незначительной степени;
Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований незначительной степени.
Общий показатель степени риска (
Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:
Р - общий показатель степени риска;
Рз - показатель нарушений значительной степени;
Рн - показатель нарушений незначительной степени.
По показателям степени риска проверяемый субъект (объект) относится:
1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.
4. Заключительные положения
12. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
13. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
14. Списки выборочных проверок составляются с учетом:
1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.
Приложение 1
к Критериям оценки степени
риска в области информатизации
Субъективные критерии по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)»
| № |
Критерии |
Степень нарушения |
| Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований) |
| 1. |
отсутствие изменений условий функциональности, аппаратно-программного комплекса и информационных технологии, информационных систем |
грубая |
| 2. |
соответствие общей структуры требованиям политики безопасности и размещения компонентов в структуре |
незначительная |
| 3. |
соответствие конфигурации компонентов, являющихся составляющими информационных систем |
незначительная |
| 4. |
наличие утвержденной функциональной схемы (план) взаимодействия компонентов информационных систем, а также интегрируемых компонентов информационных систем (физическая и логическая структура информационных систем, пояснительная записка к функциональной схеме) |
значительная |
| 5. |
наличие организационных мер информационной безопасности эксплуатируемой информационной системы |
значительная |
| 6. |
наличие Правил паспортизации средств вычислительной техники и использования информационных ресурсов |
незначительная |
| 7. |
наличие Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях. |
незначительная |
| 8. |
наличие Инструкции пользователя по эксплуатации компьютерного оборудования и программного обеспечения |
незначительная |
| 9. |
наличие Инструкции по организации антивирусной защиты. |
значительная |
| 10. |
наличие Инструкции о резервном копировании информации. |
значительная |
| 11. |
наличие Инструкции по закреплению функций и полномочий администратора сервера. |
значительная |
| 12. |
наличие Правил доступа пользователей и администраторов в серверные помещения. |
значительная |
| 13. |
наличие Правил регистрации пользователей в корпоративной информационной сети. |
значительная |
| 14. |
наличие Памятки для работы системных администраторов. |
значительная |
| 15. |
наличие Памятки пользователю средств вычислительной техники. |
значительная |
| 16. |
наличие Инструкции по использованию электронной почты и служб Интернет на рабочих станциях. |
значительная |
| 17. |
наличие лицензий на используемое программное обеспечение и сертификатов соответствия на компьютерное, телекоммуникационное оборудование, терминалы оплаты услуг, торговые автоматы, пос-терминалы и иное оборудование, применяемое в информационном процессе фискального режима компьютерной системы. |
грубая |
| 18. |
наличие сертификатов соответствия требованиям информационной безопасности технических и программных средств фискального режима, фискальной памяти, входящих в состав компьютерной системы и участвующих в информационном процессе (СТ РК ГОСТ Р ИСО/МЭК 15408-2006 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»). |
грубая |
| 19. |
соответствие системы безопасности компьютерной системы требованиям к серверному помещению и помещению ограниченного доступа |
незначительная |
| 20. |
наличие лицензионного или свободно распространяемого антивирусного программного обеспечения с актуальной базой сигнатур на персональных компьютерах пользователей компьютерной системы |
незначительная |
| 21. |
наличие защищенного канала передачи данных между территориально разделенными подразделениями организации с шифрованием трафика с помощью аппаратных граничных маршрутизаторов. |
незначительная |
| 22. |
наличие системы обнаружения (предотвращения) атак из сети Интернет посредством межсетевого экрана |
значительная |
| 23. |
наличие систем идентификации и аутентификации пользователя |
значительная |
| 24. |
наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт основного и резервного серверного оборудования компьютерной системы, используемых в фискальном режиме |
значительная |
| 25. |
наличие системы резервного копирования компьютерной системы |
значительная |
| 26. |
наличие службы информационной безопасности |
значительная |
| 27. |
наличие ответственных лиц по компьютерной системе |
незначительная |
| 28. |
наличие политики информационной безопасности (нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного доступа) |
грубая |
| 29. |
наличие политики формирования и использования паролей |
грубая |
| 30. |
наличие политики резервного копирования (архивирования) |
грубая |
| 31. |
наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов |
значительная |
| 32. |
наличие сертификата средств криптографической защиты информации согласно СТ РК 1073-2007 «Средства криптографический защиты информации. Общие технические требования» и в зависимости от криптографической стойкости, должны соответствовать уровням безопасности согласно СТ РК 1073-2007 |
грубая |
| 33. |
отсутствие уязвимостей, выявленных при инструментальном обследовании |
значительная |
| 34. |
наличие фиксирования всех операций компьютерной системы без возможности их дальнейшей корректировки, связанных с торговыми операциями, оказанием услуг посредством наличных денег, а также при формировании фискальных отчетов. Выходные формы фискальных отчетов компьютерной системы заверяются электронной цифровой подписью объекта проверки |
значительная |
| 35. |
корректная работа функционирующей компьютерной системы, в части функции формирования и проверки электронной цифровой подписи |
значительная |
| 36. |
наличие акта о соответствии компьютерной системы техническим требованиям для включения в Государственный реестр контрольно-кассовых машин |
значительная |
Приложение 2
к Критериям оценки степени
риска в области информатизации
Субъективные критерии по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов»
| № |
Критерии |
Степень нарушения |
| 1. |
наличие одной подтвержденной жалобы или обращения в области информатизации |
незначительное |
| 2. |
наличие двух или более подтвержденных жалоб или обращений в области информатизации |
значительное |
Рз = (
Р2 х 100/
Р1 ) х 0,7
Рн = (
Р2 х 100/
Р1 ) х 0,3
Р =
Рз +
Рн
