1. Настоящие Критерии оценки степени риска в области информатизации (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.

2. В настоящих Критериях используются следующие понятия:

1) проверяемые субъекты в области информатизации (далее – проверяемые субъекты) – владельцы электронных информационных ресурсов, информационных систем;

2) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;

3) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);

4) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);

5) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.

3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев. 

4. Определение риска в области информатизации осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием контрольно-кассовых машин и информационных систем, интегрируемых с государственными информационными системами, которое может привести к утечке информации государственных органов путем несанкционированного доступа к информационным системам, а также к отсутствию фискализации поступающих платежей на контрольно-кассовые машины являющиеся компьютерной системой.

5. В области информатизации к высокой степени риска относятся проверяемые субъекты аттестованные на соответствие требованиям информационной безопасности негосударственные информационные системы, интегрируемые с государственными информационными системами.

6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие заключения для включения в государственный реестр контрольно-кассовых машин контрольно-кассовые машины, являющиеся компьютерной системой.

7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки. 

8. Определение субъективных критериев осуществляется с применением следующих этапов:

1) формирование базы данных и сбор информации;

2) анализ информации и оценка рисков.

9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области информатизации.

Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.

Для оценки степени рисков по субъективным критериям используются следующие источники информации:

1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области информатизации, отраженных в проверочных листах;

2) наличие и количество подтвержденных жалоб и обращений на проверяемых субъектов, поступивших от физических или юридических лиц, государственных органов.

10. Оценка степени риска проверяемых субъектов и отнесение их к высокой или проверяемых субъектов, не отнесенных к высокой степени риска по субъективным критериям осуществляется по следующим показателям:

1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;

2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 2 к настоящим Критериям.

11. Определение степени риска по каждому информационному источнику определяется следующим образом. 

Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.

В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени. 

При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

 Рз = ( Р2 х 100/ Р1 ) х 0,7

где:

 Рз – показатель нарушений значительной степени;

 Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);

 Р2 - количество нарушенных требований значительной степени.

При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:

 Рн = ( Р2 х 100/ Р1 ) х 0,3

где:

 Рн – показатель нарушений незначительной степени;

 Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);

 Р2 - количество нарушенных требований незначительной степени.

Общий показатель степени риска ( Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:

 Р =  Рз +  Рн 

где:

 Р - общий показатель степени риска;

 Рз - показатель нарушений значительной степени;

 Рн - показатель нарушений незначительной степени.

По показателям степени риска проверяемый субъект (объект) относится:

1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;

2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка. 

12. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.

13. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.

14. Списки выборочных проверок составляются с учетом:

1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;

2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа. 

	

		

			
№
			
Критерии
			
Степень нарушения
		
		

			
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)
		
		

			
1.
			
отсутствие изменений условий функциональности, аппаратно-программного комплекса и информационных технологии, информационных систем
			
грубая
		
		

			
2.
			
соответствие общей структуры требованиям политики безопасности и размещения компонентов в структуре
			
незначительная
		
		

			
3.
			
соответствие конфигурации компонентов, являющихся составляющими информационных систем
			
незначительная
		
		

			
4.
			
наличие утвержденной функциональной схемы (план) взаимодействия компонентов информационных систем, а также интегрируемых компонентов информационных систем (физическая и логическая структура информационных систем, пояснительная записка к функциональной схеме)
			
значительная
		
		

			
5.
			
наличие организационных мер информационной безопасности эксплуатируемой информационной системы
			
значительная
		
		

			
6.
			
наличие Правил паспортизации средств вычислительной техники и использования информационных ресурсов
			
незначительная
		
		

			
7.
			
наличие Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях.
			
незначительная
		
		

			
8.
			
наличие Инструкции пользователя по эксплуатации компьютерного оборудования и программного обеспечения
			
незначительная
		
		

			
9.
			
наличие Инструкции по организации антивирусной защиты.
			
значительная
		
		

			
10.
			
наличие Инструкции о резервном копировании информации.
			
значительная
		
		

			
11.
			
наличие Инструкции по закреплению функций и полномочий администратора сервера.
			
значительная
		
		

			
12.
			
наличие Правил доступа пользователей и администраторов в серверные помещения.
			
значительная
		
		

			
13.
			
наличие Правил регистрации пользователей в корпоративной информационной сети.
			
значительная
		
		

			
14.
			
наличие Памятки для работы системных администраторов.
			
значительная
		
		

			
15.
			
наличие Памятки пользователю средств вычислительной техники.
			
значительная
		
		

			
16.
			
наличие Инструкции по использованию электронной почты и служб Интернет на рабочих станциях.
			
значительная
		
		

			
17.
			
наличие лицензий на используемое программное обеспечение и сертификатов соответствия на компьютерное, телекоммуникационное оборудование, терминалы оплаты услуг, торговые автоматы, пос-терминалы и иное оборудование, применяемое в информационном процессе фискального режима компьютерной системы.
			
грубая
		
		

			
18.
			
наличие сертификатов соответствия требованиям информационной безопасности технических и программных средств фискального режима, фискальной памяти, входящих в состав компьютерной системы и участвующих в информационном процессе (СТ РК ГОСТ Р ИСО/МЭК 15408-2006 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).
			
грубая
		
		

			
19.
			
соответствие системы безопасности компьютерной системы требованиям к серверному помещению и помещению ограниченного доступа
			
незначительная
		
		

			
20.
			
наличие лицензионного или свободно распространяемого антивирусного программного обеспечения с актуальной базой сигнатур на персональных компьютерах пользователей компьютерной системы
			
незначительная
		
		

			
21.
			
наличие защищенного канала передачи данных между территориально разделенными подразделениями организации с шифрованием трафика с помощью аппаратных граничных маршрутизаторов.
			
незначительная
		
		

			
22.
			
наличие системы обнаружения (предотвращения) атак из сети Интернет посредством межсетевого экрана
			
значительная
		
		

			
23.
			
наличие систем идентификации и аутентификации пользователя
			
значительная
		
		

			
24.
			
наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт основного и резервного серверного оборудования компьютерной системы, используемых в фискальном режиме
			
значительная
		
		

			
25.
			
наличие системы резервного копирования компьютерной системы
			
значительная
		
		

			
26.
			
наличие службы информационной безопасности
			
значительная
		
		

			
27.
			
наличие ответственных лиц по компьютерной системе
			
незначительная
		
		

			
28.
			
наличие политики информационной безопасности (нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного доступа)
			
грубая
		
		

			
29.
			
наличие политики формирования и использования паролей
			
грубая
		
		

			
30.
			
наличие политики резервного копирования (архивирования)
			
грубая
		
		

			
31.
			
наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов
			
значительная
		
		

			
32.
			
наличие сертификата средств криптографической защиты информации согласно СТ РК 1073-2007 «Средства криптографический защиты информации. Общие технические требования» и в зависимости от криптографической стойкости, должны соответствовать уровням безопасности согласно СТ РК 1073-2007
			
грубая
		
		

			
33.
			
отсутствие уязвимостей, выявленных при инструментальном обследовании
			
значительная
		
		

			
34.
			
наличие фиксирования всех операций компьютерной системы без возможности их дальнейшей корректировки, связанных с торговыми операциями, оказанием услуг посредством наличных денег, а также при формировании фискальных отчетов. Выходные формы фискальных отчетов компьютерной системы заверяются электронной цифровой подписью объекта проверки
			
значительная
		
		

			
35.
			
корректная работа функционирующей компьютерной системы, в части функции формирования и проверки электронной цифровой подписи
			
значительная
		
		

			
36.
			
наличие акта о соответствии компьютерной системы техническим требованиям для включения в Государственный реестр контрольно-кассовых машин
			
значительная
		
	

	

		

			
№
			
Критерии
			
Степень нарушения
		
		

			
1.
			
наличие одной подтвержденной жалобы или обращения в области информатизации
			
незначительное
		
		

			
2.
			
наличие двух или более подтвержденных жалоб или обращений в области информатизации
			
значительное