СОВМЕСТНЫЙ ПРИКАЗ ЗАМЕСТИТЕЛЯ ПРЕМЬЕР-МИНИСТРА РЕСПУБЛИКИ КАЗАХСТАН - МИНИСТРА ОБОРОННОЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН И МИНИСТРА НАЦИОНАЛЬНОЙ ЭКОНОМИКИ РЕСПУБЛИКИ КАЗАХСТАН

от 29 января 2019 года №13/НК, 29 января 2019 года №12

Об утверждении критериев оценки степени риска и проверочных листов в сфере информатизации в части обеспечения информационной безопасности

В соответствии с пунктом 3 статьи 141 и пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан от 29 октября 2015 года, ПРИКАЗЫВАЕМ:

1. Утвердить:

1) критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности, согласно приложению 1 к настоящему совместному приказу;

2) проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных и местных исполнительных органов согласно приложению 2 к настоящему совместному приказу;

3) проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры согласно приложению 3 к настоящему совместному приказу.

2. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего совместного приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение копии настоящего совместного приказа на интернет - ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан.

3. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Приложение 1

к Совместному Приказу Заместителя Премьер-Министра Республики Казахстан - Министра оборонной и аэрокосмической промышленности Республики Казахстан и Министра национальной экономики Республики Казахстан от 29 января 2019 года №13/НК, 29 января 2019 года №12

Критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности

Глава 1. Общие положения

1. Настоящие Критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности (далее - Критерии) разработаны в соответствии с Предпринимательским кодексом Республики Казахстан от 29 октября 2015 года (далее - Кодекс) и Правилами формирования государственными органами системы оценки рисков и формы проверочных листов, утвержденными приказом исполняющего обязанности Министра национальной экономики Республики Казахстан от 31 июля 2018 года №3 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под №17371).

2. В настоящих критериях используются следующие понятия:

1) субъекты (объекты) контроля сфере информатизации в части обеспечения информационной безопасности (далее - субъекты (объекты) контроля) - государственные органы, местные исполнительные органы, государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственники и владельцы критических важных объектов информационно-коммуникационной инфраструктуры;

2) незначительное нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности, приведшее или которое может привести к несущественным инцидентам, не оказывающим влияние на электронные информационные ресурсы, информационные системы, сети телекоммуникаций и другие объекты информатизации, наличие одной подтвержденной жалобы или обращения в сфере информатизации в части обеспечения информационной безопасности;

3) значительное нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности, приведшее или которое может привести к существенному ограничению предоставления услуг, существенному ухудшению ситуации или существенным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации, наличие двух или более подтвержденных жалоб или обращений в сфере информатизации в части обеспечения информационной безопасности;

4) грубое нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности приведшее или которое может привести к невозможности предоставления услуг, значительным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации, неисполнение предписаний уполномоченного органа;

5) риск - вероятность причинения ущерба информационной безопасности;

6) проверочный лист - перечень требований, предъявляемый к субъекту (объекта) контроля с отметкой об их соответствии;

7) система оценки рисков - комплекс мероприятий, проводимых органом контроля с целью назначения профилактического контроля с посещением субъекта (объекта) контроля;

8) объективные критерии оценки степени риска (далее - объективные критерии) - критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта) контроля;

9) субъективные критерии оценки степени риска (далее - субъективные критерии) - критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от результатов деятельности конкретного субъекта (объекта) контроля.

3. Критерии оценки степени риска для профилактического контроля с посещением субъекта (объекта) контроля формируются посредством объективных и субъективных критериев.

Глава 2. Объективные критерии

4. Определение риска в сфере информатизации в части обеспечения информационной безопасности осуществляется в зависимости от вероятности причинения вреда в результате деятельности субъекта законным интересам физических и юридических лиц, имущественным интересам государства, деятельностью субъектов, связанную с бесконтрольным использованием информационных систем, интегрируемых с государственными информационными системами, а также содержащих персональные данные, которое может привести к незаконному распространению, использованию и обработке информации государственных органов, а также персональных данных путем несанкционированного доступа к информационным системам.

5. В сфере информатизации в части обеспечения информационной безопасности к высокой степени риска относятся государственные органы, местные исполнительные органы, а также собственники и владельцы критически важных объектов информационно-коммуникационной инфраструктуры.

6. К субъектам (объектам) контроля, не отнесенным, к высокой степени риска в сфере информатизации в части обеспечения информационной безопасности относятся государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов.

7. В отношении субъектов (объектов) контроля, отнесенных по объективным критериям к высокой степени риска, применяются субъективные критерии с целью проведения профилактического контроля с посещением субъекта (объекта) контроля.

Глава 3. Субъективные критерии

8. Субъективные критерии разработаны на основании требований перечисленных в проверочных листах (далее - требования) несоблюдение которых в соответствии с критериями оценки степени риска соответствуют определенной степени нарушения. В отношении каждого требования из проверочных листов определяется степень нарушения - грубое, значительное и незначительное.

9. Определение субъективных критериев осуществляется с применением следующих этапов:

1) формирование базы данных и сбор информации;

2) анализ информации и оценка рисков.

10. Формирование базы данных и сбор информации необходимы для выявления субъектов (объектов) контроля, нарушающих законодательство Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности. Правильное использование этих сведений позволит более эффективно осуществлять государственный контроль и использовать ресурсы.

11. Для оценки степени рисков по субъективным критериям используются следующие источники информации: