zabika.ru 1




Приложение 3

к совместному приказу

Министра связи и информации

Республики Казахстан

от «___» _______ 2011 года

№ _____ и

и.о. Министра экономического

развития и торговли

Республики Казахстан

от «___» ______ 2011 года

№ _____

Критерии

оценки степени риска в сфере частного предпринимательства

за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи
1. Настоящие Критерии оценки степени риска в сфере частного предпринимательства за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее – Критерии оценки степени риска) разработаны в соответствии с законами Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан» от 6 января 2011 года, «Об информатизации» от 11 января 2007 года и «Об электронном документе и электронной цифровой подписи» от 7 января 2003 года

2. Настоящие Критерии оценки степени риска определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска.

3. В настоящих Критериях оценки степени риска используются следующие понятия:

1) риск – вероятность причинения вреда в результате деятельности проверяемых субъектов законным интересам личности, общества, государства, с учетом степени тяжести его последствий при использовании электронных документов и электронной цифровой подписи;

2) проверяемые субъекты (далее – проверяемые субъекты) – удостоверяющие центры;

3) удостоверяющий центр - юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства.


4. Критерии оценки степени риска подразделяются на два вида:

1) объективные – основаны на значимости рисков, возможных при осуществлении деятельности проверяемых субъектов;

2) субъективные – определяются в зависимости от допущенных проверяемыми субъектами нарушений установленных требований.

5. Первично все проверяемые субъекты относятся к высокой группе риска.

6. Последующее отнесение проверяемых субъектов к группам риска осуществляется с учетом субъективных критериев, к которым относятся грубые, значительные и незначительные нарушения.

7. К грубым нарушениям относятся:


  1. отсутствие сертифицированных средств криптографической защиты информации для аппаратно-программного комплекса удостоверяющего центра;

  2. отсутствие свидетельства об аккредитации удостоверяющего центра;

  3. отсутствие аппаратно-программного комплекса, необходимого для осуществления заявленного вида деятельности;

  4. отсутствие сертификата соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями.

8. К значительным нарушениям относятся:

  1. отсутствие технических помещений для размещения и эксплуатации программно-аппаратных средств удостоверяющего центра;

  2. отсутствие лицензии на реализацию (в том числе иной передаче) средств криптографической защиты информации;

  3. отсутствие разрешения на проведение работ с использованием сведений, составляющих государственные секреты Республики Казахстан, выдаваемого органами национальной безопасности Республики Казахстан, или заключенного в установленном законодательством порядке договора на выполнение совместных секретных работ;

9. К незначительным нарушениям относится:

  1. отсутствие квалифицированного инженерно-технического персонала не менее трех человек, отвечающих соответствующему профессиональному уровню и имеющих стаж работы в соответствии с квалификацией не менее 3-х лет, а также документов подтверждающих соответствие удостоверяющего центра квалификационным требованиям (дипломы, сертификаты и иного рода свидетельства о присвоении квалификации соответствующей профилю деятельности удостоверяющего центра);


  2. отсутствие схемы взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем;

  3. Наличие утвержденных нормативно-технических документов, согласно пункту 5.6 Правил проведения аккредитации удостоверяющих центров, утвержденных Постановлением Правительства Республики Казахстан № 1222 от 19 ноября 2010 года;

  4. наличие фактов некорректной работы функционирующего программного обеспечения, реализующего функции электронной цифровой подписи;

10. Определение степени риска и распределение по группам степени риска проверяемых субъектов для осуществления плановых проверок осуществляется ежегодно.

11. Последующее отнесение проверяемых субъектов по группам риска осуществляется на основе анализа результатов предыдущих проверок (за предшествующий год).

12. Проверяемые субъекты, входящие в незначительную группу риска, при совершении в течении проверяемого периода одной и более грубых нарушений или более двух значительных нарушений или более трех незначительных нарушений переводятся в среднюю группу риска.

13. Проверяемые субъекты, входящие в среднюю группу риска, при совершении в течении проверяемого периода одного и более значительных нарушений или более двух незначительных нарушений переводятся в высокую степень риска.


14. При не выявлении последней плановой проверкой нарушений, проверяемые субъекты переводятся в группу меньшей степени риска.

15. Основаниями для приоритетного планирования проверок проверяемых субъектов одной группы риска являются:

1) наибольший непроверенный период (при определении непроверенного периода не берутся в расчет внеплановые проверки);

2) наибольшее количество выявленных грубых и значительных нарушений за прошедший период.