Дата обновления БД:
30.04.2024
Добавлено/обновлено документов:
124 / 324
Всего документов в БД:
133331
СОВМЕСТНЫЙ ПРИКАЗ ЗАМЕСТИТЕЛЯ ПРЕМЬЕР-МИНИСТРА РЕСПУБЛИКИ КАЗАХСТАН - МИНИСТРА ОБОРОННОЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН И МИНИСТРА НАЦИОНАЛЬНОЙ ЭКОНОМИКИ РЕСПУБЛИКИ КАЗАХСТАН
от 29 января 2019 года №13/НК, 29 января 2019 года №12
Об утверждении критериев оценки степени риска и проверочных листов в сфере информатизации в части обеспечения информационной безопасности
В соответствии с пунктом 3 статьи 141 и пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан от 29 октября 2015 года, ПРИКАЗЫВАЕМ:
1. Утвердить:
1) критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности, согласно приложению 1 к настоящему совместному приказу;
2) проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных и местных исполнительных органов согласно приложению 2 к настоящему совместному приказу;
3) проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры согласно приложению 3 к настоящему совместному приказу.
2. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего совместного приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение копии настоящего совместного приказа на интернет - ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан.
3. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.
4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Заместитель Премьер-Министра Республики Казахстан Министр оборонной и аэрокосмической промышленности Республики Казахстан ____________ |
А.Жумагалиев |
Министр национальной экономики Республики Казахстан ___________ |
Т.Сулейменов |
Согласован Комитетом по правовой статистике и специальным учетам Генеральной прокуратуры Республики Казахстан |
|
Приложение 1
к Совместному Приказу Заместителя Премьер-Министра Республики Казахстан - Министра оборонной и аэрокосмической промышленности Республики Казахстан и Министра национальной экономики Республики Казахстан от 29 января 2019 года №13/НК, 29 января 2019 года №12
Критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности
Глава 1. Общие положения
1. Настоящие Критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности (далее - Критерии) разработаны в соответствии с Предпринимательским кодексом Республики Казахстан от 29 октября 2015 года (далее - Кодекс) и Правилами формирования государственными органами системы оценки рисков и формы проверочных листов, утвержденными приказом исполняющего обязанности Министра национальной экономики Республики Казахстан от 31 июля 2018 года №3 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под №17371).
2. В настоящих критериях используются следующие понятия:
1) субъекты (объекты) контроля сфере информатизации в части обеспечения информационной безопасности (далее - субъекты (объекты) контроля) - государственные органы, местные исполнительные органы, государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственники и владельцы критических важных объектов информационно-коммуникационной инфраструктуры;
2) незначительное нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности, приведшее или которое может привести к несущественным инцидентам, не оказывающим влияние на электронные информационные ресурсы, информационные системы, сети телекоммуникаций и другие объекты информатизации, наличие одной подтвержденной жалобы или обращения в сфере информатизации в части обеспечения информационной безопасности;
3) значительное нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности, приведшее или которое может привести к существенному ограничению предоставления услуг, существенному ухудшению ситуации или существенным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации, наличие двух или более подтвержденных жалоб или обращений в сфере информатизации в части обеспечения информационной безопасности;
4) грубое нарушение - не соблюдение требований нормативных правовых актов Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности приведшее или которое может привести к невозможности предоставления услуг, значительным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации, неисполнение предписаний уполномоченного органа;
5) риск - вероятность причинения ущерба информационной безопасности;
6) проверочный лист - перечень требований, предъявляемый к субъекту (объекта) контроля с отметкой об их соответствии;
7) система оценки рисков - комплекс мероприятий, проводимых органом контроля с целью назначения профилактического контроля с посещением субъекта (объекта) контроля;
8) объективные критерии оценки степени риска (далее - объективные критерии) - критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта) контроля;
9) субъективные критерии оценки степени риска (далее - субъективные критерии) - критерии оценки степени риска, используемые для отбора субъектов (объектов) контроля в зависимости от результатов деятельности конкретного субъекта (объекта) контроля.
3. Критерии оценки степени риска для профилактического контроля с посещением субъекта (объекта) контроля формируются посредством объективных и субъективных критериев.
Глава 2. Объективные критерии
4. Определение риска в сфере информатизации в части обеспечения информационной безопасности осуществляется в зависимости от вероятности причинения вреда в результате деятельности субъекта законным интересам физических и юридических лиц, имущественным интересам государства, деятельностью субъектов, связанную с бесконтрольным использованием информационных систем, интегрируемых с государственными информационными системами, а также содержащих персональные данные, которое может привести к незаконному распространению, использованию и обработке информации государственных органов, а также персональных данных путем несанкционированного доступа к информационным системам.
5. В сфере информатизации в части обеспечения информационной безопасности к высокой степени риска относятся государственные органы, местные исполнительные органы, а также собственники и владельцы критически важных объектов информационно-коммуникационной инфраструктуры.
6. К субъектам (объектам) контроля, не отнесенным, к высокой степени риска в сфере информатизации в части обеспечения информационной безопасности относятся государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов.
7. В отношении субъектов (объектов) контроля, отнесенных по объективным критериям к высокой степени риска, применяются субъективные критерии с целью проведения профилактического контроля с посещением субъекта (объекта) контроля.
Глава 3. Субъективные критерии
8. Субъективные критерии разработаны на основании требований перечисленных в проверочных листах (далее - требования) несоблюдение которых в соответствии с критериями оценки степени риска соответствуют определенной степени нарушения. В отношении каждого требования из проверочных листов определяется степень нарушения - грубое, значительное и незначительное.
9. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
10. Формирование базы данных и сбор информации необходимы для выявления субъектов (объектов) контроля, нарушающих законодательство Республики Казахстан в сфере информатизации в части обеспечения информационной безопасности. Правильное использование этих сведений позволит более эффективно осуществлять государственный контроль и использовать ресурсы.
11. Для оценки степени рисков по субъективным критериям используются следующие источники информации:
Текст редакции доступен после регистрации и оплаты доступа.
Недействующая редакция, не действует с 1 января 2023 года