Toggle Dropdown
Приложение 3
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494
Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи
1. Настоящие Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
2. В настоящих Критериях используются следующие понятия:
1) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
2) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
3) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
4) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок;
5) проверяемые субъекты за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее – проверяемые субъекты) – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства.
3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.
4. Определение риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием и выдачей электронных документов и электронной цифровой подписи могут привести к компрометации открытого ключа, и как следствие неправомерного использования электронной цифровой подписи.
5. По объективным критериям к высокой степени риска относятся проверяемые субъекты аккредитованные на территории Республики Казахстан удостоверяющие центры.
6. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.
7. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
8. Формирование базы данных и сбор информации необходимы для выявления субъектов контроля, нарушающих законодательство Республики Казахстан об электронном документе и электронной цифровой подписи.
Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении субъекта контроля с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
Для оценки степени рисков по субъективным критериям используются следующие источники информации:
1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) субъектов контроля. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства, отраженных в проверочных листах;
2) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.
9. Оценка степени риска проверяемых субъектов и отнесение их к высокой или не отнесенным к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
1) по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии согласно приложению 1 к настоящим Критериям;
2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии согласно приложению 2 к настоящим Критериям.
10. Определение степени риска по каждому информационному источнику определяется следующим образом.
Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:
Рз – показатель нарушений значительной степени;
Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований значительной степени.
При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:
Рн – показатель нарушений незначительной степени;
Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований незначительной степени.
Общий показатель степени риска (
Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:
Р - общий показатель степени риска;
Рз - показатель нарушений значительной степени;
Рн - показатель нарушений незначительной степени.
По показателям степени риска проверяемый субъект (объект) относится:
1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.
4. Заключительные положения
11. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
12. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
13. Списки выборочных проверок составляются с учетом:
1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.
Приложение 1
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи
Субъективные критерии по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)»
№ |
Критерии |
Степень нарушения |
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований) |
1. |
наличие процедуры синхронизации времени аккредитуемого удостоверяющего центра с комплексом технических средств, обеспечивающих периодическую передачу цифровой информации о значении текущего времени от эталона единицы времени Республики Казахстан, спутниковых глобальных систем позиционирования, общепризнанных международных источников |
грубая |
2. |
наличие сертификата соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями |
грубая |
3. |
наличие аттестата соответствия удостоверяющего центра требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, в случае интеграции аккредитуемого удостоверяющего центра с государственными информационными системами |
значительная |
4. |
соблюдение требований владельца по отзыву регистрационного свидетельства |
грубая |
5. |
соблюдение требований к серверному помещению |
грубая |
6. |
наличие политики информационной безопасности удостоверяющего центра |
незначительная |
7. |
наличие регламента или правил деятельности удостоверяющего центра |
значительная |
8. |
наличие политики применения регистрационных свидетельств |
незначительная |
9. |
наличие положения об удостоверяющем центре |
значительная |
10. |
наличие инструкции по действиям работников, осуществляющих работы от лица заявителя непосредственно участвующих в работах по сопровождению, администрированию, выпуску регистрационных свидетельств удостоверяющего центра во внештатных, кризисных ситуациях |
незначительная |
11. |
наличие инструкции о резервном копировании информационных ресурсов удостоверяющего центра |
грубая |
12. |
наличие инструкции по установке и настройке программного обеспечения удостоверяющего центра |
значительная |
13. |
наличие в регистрационном свидетельстве номера регистрационного свидетельства и срок его действия |
значительная |
14. |
наличие в регистрационном свидетельстве данных, позволяющих идентифицировать владельца электронной цифровой подписи |
значительная |
15. |
наличие в регистрационном свидетельстве открытого ключа электронной цифровой подписи |
значительная |
16. |
наличие в регистрационном свидетельстве данных о средствах электронной цифровой подписи, используемых для создания соответствующего закрытого ключа электронной цифровой подписи |
значительная |
17. |
наличие в регистрационном свидетельстве информации о сферах применения и ограничениях применения электронной цифровой подписи |
значительная |
18. |
наличие в регистрационном свидетельстве реквизитов соответствующего удостоверяющего центра |
значительная |
19. |
наличие схемы взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем |
значительная |
20. |
отсутствие фактов некорректного использования электронной цифровой подписи |
значительная |
Приложение 2
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи
Субъективные критерии по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов»
№ |
Критерии |
Степень нарушения |
1. |
наличие одной подтвержденной жалобы или обращения за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи |
незначительное |
2. |
наличие двух или более подтвержденных жалоб или обращений за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи |
значительное |