1. Настоящие Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.

2. В настоящих Критериях используются следующие понятия:

1) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;

2) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);

3) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);

4) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок;

5) проверяемые субъекты за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее – проверяемые субъекты) – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства.

3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.

4. Определение риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием и выдачей электронных документов и электронной цифровой подписи могут привести к компрометации открытого ключа, и как следствие неправомерного использования электронной цифровой подписи.

5. По объективным критериям к высокой степени риска относятся проверяемые субъекты аккредитованные на территории Республики Казахстан удостоверяющие центры.

6. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.

7. Определение субъективных критериев осуществляется с применением следующих этапов:

1) формирование базы данных и сбор информации;

2) анализ информации и оценка рисков.

8. Формирование базы данных и сбор информации необходимы для выявления субъектов контроля, нарушающих законодательство Республики Казахстан об электронном документе и электронной цифровой подписи. 

Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении субъекта контроля с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.

Для оценки степени рисков по субъективным критериям используются следующие источники информации:

1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) субъектов контроля. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства, отраженных в проверочных листах;

2) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.

9. Оценка степени риска проверяемых субъектов и отнесение их к высокой или не отнесенным к высокой степени риска по субъективным критериям осуществляется по следующим показателям:

1) по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии согласно приложению 1 к настоящим Критериям;

2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии согласно приложению 2 к настоящим Критериям.

10. Определение степени риска по каждому информационному источнику определяется следующим образом. 

Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.

В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени. 

При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

 Рз = ( Р2 х 100/ Р1 ) х 0,7

где:

 Рз – показатель нарушений значительной степени;

 Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);

 Р2 - количество нарушенных требований значительной степени.

При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:

 Рн = ( Р2 х 100/ Р1 ) х 0,3

где:

 Рн – показатель нарушений незначительной степени;

 Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);

 Р2 - количество нарушенных требований незначительной степени.

Общий показатель степени риска ( Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:

 Р =  Рз +  Рн 

 Р - общий показатель степени риска;

 Рз - показатель нарушений значительной степени;

 Рн - показатель нарушений незначительной степени.

По показателям степени риска проверяемый субъект (объект) относится:

1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;

2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.

11. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.

12. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.

13. Списки выборочных проверок составляются с учетом:

1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;

2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.

	

		

			
№
			
Критерии
			
Степень нарушения
		
		

			
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)
		
		

			
1.
			
наличие процедуры синхронизации времени аккредитуемого удостоверяющего центра с комплексом технических средств, обеспечивающих периодическую передачу цифровой информации о значении текущего времени от эталона единицы времени Республики Казахстан, спутниковых глобальных систем позиционирования, общепризнанных международных источников
			
грубая
		
		

			
2.
			
наличие сертификата соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями
			
грубая
		
		

			
3.
			
наличие аттестата соответствия удостоверяющего центра требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, в случае интеграции аккредитуемого удостоверяющего центра с государственными информационными системами
			
значительная
		
		

			
4.
			
соблюдение требований владельца по отзыву регистрационного свидетельства
			
грубая
		
		

			
5.
			
соблюдение требований к серверному помещению
			
грубая
		
		

			
6.
			
наличие политики информационной безопасности удостоверяющего центра
			
незначительная
		
		

			
7.
			
наличие регламента или правил деятельности удостоверяющего центра
			
значительная
		
		

			
8.
			
наличие политики применения регистрационных свидетельств
			
незначительная
		
		

			
9.
			
наличие положения об удостоверяющем центре
			
значительная
		
		

			
10.
			
наличие инструкции по действиям работников, осуществляющих работы от лица заявителя непосредственно участвующих в работах по сопровождению, администрированию, выпуску регистрационных свидетельств удостоверяющего центра во внештатных, кризисных ситуациях
			
незначительная
		
		

			
11.
			
наличие инструкции о резервном копировании информационных ресурсов удостоверяющего центра
			
грубая
		
		

			
12.
			
наличие инструкции по установке и настройке программного обеспечения удостоверяющего центра
			
значительная
		
		

			
13.
			
наличие в регистрационном свидетельстве номера регистрационного свидетельства и срок его действия
			
значительная
		
		

			
14.
			
наличие в регистрационном свидетельстве данных, позволяющих идентифицировать владельца электронной цифровой подписи
			
значительная
		
		

			
15.
			
наличие в регистрационном свидетельстве открытого ключа электронной цифровой подписи
			
значительная
		
		

			
16.
			
наличие в регистрационном свидетельстве данных о средствах электронной цифровой подписи, используемых для создания соответствующего закрытого ключа электронной цифровой подписи
			
значительная
		
		

			
17.
			
наличие в регистрационном свидетельстве информации о сферах применения и ограничениях применения электронной цифровой подписи
			
значительная
		
		

			
18.
			
наличие в регистрационном свидетельстве реквизитов соответствующего удостоверяющего центра
			
значительная
		
		

			
19.
			
наличие схемы взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем
			
значительная
		
		

			
20.
			
отсутствие фактов некорректного использования электронной цифровой подписи
			
значительная
		
	

	

		

			
№
			
Критерии
			
Степень нарушения
		
		

			
1.
			
наличие одной подтвержденной жалобы или обращения за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи
			
незначительное
		
		

			
2.
			
наличие двух или более подтвержденных жалоб или обращений за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи
			
значительное