18. В соответствии со статьей 25 Закона, хранение экземпляров программных продуктов, программных кодов и нормативно-технической документации информационных систем в депозитарии осуществляется в целях создания единой системы учета, обеспечения замены приобретенного программного продукта в случае его утраты собственником или владельцем, информирования пользователей о программных продуктах и их разработчиках, а также информационного обеспечения государственных органов.
19. Депозитарий информационных систем, программных продуктов, программных кодов и нормативно-технической документации (далее - Депозитарий) - специальное хранилище, предназначенное для обеспечения накопления, описания, хранения и систематизации экземпляров программных продуктов, программных кодов вместе с сопровождающей их нормативно-технической документацией.
20. Программные продукты, программные коды и нормативно-техническая документация, финансирование которых осуществляется за счет бюджетных средств, подлежат обязательному государственному учету, регистрации и хранению в Депозитарии.
21. Данные по содержанию Государственного регистра и Депозитария (Таблица № 3) свидетельствуют о росте государственных органов не представляющих обновленные данные.
Таблица № 3
Период | Количество гос. органов, представляющих сведения для Госрегистра | Количество гос. органов, представивших обновленные сведения для Госрегистра | Количество гос. органов, не представивших обновленные сведения для Госрегистра | |||
2008 | 2009 | 2008 | 2009 | 2008 | 2009 | |
Государственный регистр электронных информационных ресурсов и информационных систем | 67 | 67 | 23 | 34 | 44 | 33 |
Депозитария программных продуктов и нормативно-технической документации | 67 | 67 | 8 | 7 | 59 | 67 |
22. В соответствии со статьей 651 Налогового кодекса Республики Казахстан, если моделью контрольно-кассовой машины является компьютерная система, к налоговому заявлению прилагаются заключение уполномоченного государственного органа в области информатизации и связи о соответствии компьютерной системы техническим требованиям.
Правила выдачи заключений о соответствии компьютерной системы техническим требованиям для включения в государственный реестр контрольно-кассовых машин, утверждены совместным приказом Председателя Агентства и Министра финансов, а также зарегистрированы в Министерстве юстиции Республики Казахстан 31 июля 2009 года № 000.
23. Согласно пункта 3 статьи 4 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан», государственный уполномоченный орган, осуществляющий реализацию государственной политики и государственное регулирование в сфере информатизации, определяет особенности организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг и осуществляет контроль за их деятельностью с учетом требований, установленных Законом.
Инструкция по определению особенностей организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг, утверждена приказ Председателя Агентства от 23 марта 2005 года и зарегистрирована в Министерстве юстиции Республики Казахстан 28 апреля 2005 года № 000.
24. Агентством совместно с АФН и Налоговым комитетом в 2008-2009 по инициативе заявителей проведены проверки 11 владельцев банковских систем и 28 поставщиков информации, кредитных бюро и получателей кредитных отчетов.
25. Этапы управления рисками подразделяются на:
1) идентификацию риска деятельности субъекта информатизации;
2) оценку рисков по степени опасности и их учет при подготовке плана проверок;
3) реагирование на риск, принятие решений по управлению рисками;
4) осуществление проверок субъектов информатизации.
5. Кратность проверок объектов контроля
26. В настоящее время государственный контроль в сфере информатизации за соблюдением владельцами контрольно-кассовых машин являющихся компьютерными системами и поставщиками информации, кредитных бюро и получателей кредитных отчетов субъектами информатизации требований законов Республики Казахстан и постановлений Правительства Республики Казахстан об информатизации осуществляется в виде проверок по инициативе заявителя по мере поступления заявок, но не более одного раза в год.
27. Государственный контроль в сфере информатизации других субъектов контроля в виде проверок не осуществляется.
28. С 2010 года в соответствии с Законом Республики Казахстан
«О частном предпринимательстве» кратность проведения плановых проверок субъектов информатизации будет определяться в зависимости от степени риска с периодичность не чаще:
один раз в год - субъекты высокой степени риска
один раз в три года - субъекты средней степени риска
один раз в пять лет - субъекты незначительного степени риска
6. Принцип оценки уровня риска
29. Принцип оценки уровня риска состоит из 2 факторов – объективных и субъективных.
Объективным фактором отнесения субъектов контроля к группам риска является ранжирование вида информации и соответствующего доступа к ней физических и юридических лиц. При этом критерием отбора субъектов является деление информации, содержащейся в информационных ресурсах по категории и количеству пользователей. Информационные ресурсы по категории доступа подразделяются на общедоступную, ограниченного доступа и национальную.
Субъективным фактором отнесения субъектов контроля к группам риска является нарушений законов и постановлений Правительства Республики Казахстан, выявленных в результате проведенных проверок.
30. К высокой степени риска с учетом объективных факторов отнесены субъекты контроля, приведенные в Таблице № 4.
Таблица № 4
Наименование субъектов контроля | Количество субъектов | Критерии риска |
1. Государственные органы, непосредственно подчиненные и подотчетные Президенту Республики Казахстан | 11 | Критерием риска наличие у субъекта контроля информационных ресурсов и информационных систем, содержащих и обрабатывающих информацию ограниченного доступа и наличие национальных информационных ресурсов. |
2. Центральные государственного органы | 25 | |
3. Местные исполнительные органы | 16 | |
4. Владельцы национальных электронных информационных ресурсов (центральные госорганы и госучреждения) | 6 | |
5. Удостоверяющие центры | 6 | |
6. Владельцы контрольно-кассовых машин являющихся компьютерной системой | 10 | |
7. Поставщики информации, кредитных бюро и получателей кредитных отчетов | 7 | |
Итого 81 субъекта высокой степени риска |
31. К средней степени риска с учетом объективных факторов отнесены субъекты контроля, приведенные в Таблице № 5.
Таблица № 5
Наименование субъектов контроля | Количество субъектов | Критерии риска |
Владельцы информационных ресурсов ограниченного доступа (центральные госорганы, их структурные подразделения и субъекты ИКТ рынка) | 30 | Критерием риска наличие у субъекта контроля информационных ресурсов и информационных систем, содержащих и обрабатывающих информацию ограниченного доступа. |
Итого 30 субъекта средней степени риска |
32. К незначительной степени риска с учетом объективных факторов отнесены субъекты контроля, приведенные в Таблице № 6.
Таблица № 6
Наименование субъектов контроля | Количество субъектов | Критерии риска |
Владельцы общедоступных информационных ресурсов (госорганы) | 50 | Критерием риска наличие у субъекта контроля информационных ресурсов и информационных систем, содержащих и обрабатывающих общедоступную информацию. |
Итого 50 субъекта незначительной степени риска |
33. В 2010 году будет проведена проверка 100 % объектов контроля на основе объективных факторов. В дальнейшем составление плана проверок будет осуществляется по итогам проверок на основе оценки субъективных факторов.
34. Распределение объектов контроля с учетом объективных факторов приведены в Таблице № 7.
Таблица № 7
Степень риска | Количество субъектов (объектов) | Количество субъектов (объектов), подлежащих проверке в 2010 году |
высокая | 81 | 100 % |
средняя | 30 | 100 % |
незначительная | 50 | 100 % |
Всего: | 161 | 100 % |
35. Субъективные критерии риска приведены в Таблице № 8.
Таблица № 8
№ | Критерии рисков | Баллы |
По обеспечению информационной безопасности в сфере информатизации | ||
1 | Несанкционированный доступ к конфиденциальной и служебной информации | 20 баллов |
2 | Нелегитимное использование средств криптографической защиты информации | 20 баллов |
3 | Компрометация закрытого ключа Удостоверяющего центра | 20 баллов |
4 | Наличие уязвимостей по информационной безопасности в информационных ресурсах госорганов | 20 баллов |
5 | Нарушение требований по интеграции государственных информационных систем с негосударственными информационными системами | 20 баллов |
6 | Не соответствие квалификационным требованиям, предъявляемым к деятельности Удостоверяющих центров | 20 баллов |
7 | Нарушение порядка интеграции государственных информационных систем с негосударственными информационными системами | 10 баллов |
8 | Нарушение порядка эксплуатации электронных информационных ресурсов и информационных систем | 10 баллов |
9 | Отсутствие организационной и нормативно-технической документации по обеспечению информационной безопасности | 10 баллов |
10 | Использование несертифицированных технических средств и программных продуктов | 10 баллов |
11 | Несвоевременное внесение изменений и дополнений в базу данных по действительным, отозванным и аннулированным сертификатам | 10 баллов |
12 | Не укомплектованность техникой и программным обеспечением, вследствие чего допущены нарушения требований информационной безопасности | 10 баллов |
13 | Наличие вирусов и вредоносных программ | 5 баллов |
14 | Сбои и отказы в работе корпоративной сети передачи данных, рабочих станций пользователей и серверов | 5 баллов |
Критерии рисков по эксплуатации программных продуктов | ||
1 | Несоблюдение требований по обязательной регистрации государственных информационных ресурсов и информационных систем и вносимых в них изменений | 20 баллов |
3 | Нарушение требований по включению разработанных и приобретенных на счет бюджетных средств программных продуктов и технических средств в Депозитарий | 20 баллов |
4 | Потеря информации при передаче данных из-за сбоев в работе программного обеспечения | 20 баллов |
5 | Закладки и недекларированные возможности программного обеспечения | 20 баллов |
6 | Не внесение изменений и дополнений информационных систем, программных продуктов, программных кодов и нормативно-технической документации в Депозитарий | 10 баллов |
7 | Несоответствие нормативно-технической документации информационных ресурсов, информационных систем и программных продуктов стандартным требованиям по комплектности, содержанию и оформлению | 10 баллов |
8 | Функциональное несоответствие программного обеспечения заявленным требованиям | 10 баллов |
9 | Соответствие качества программного обеспечения требованиям стандартов Республики Казахстан | 10 баллов |
10 | Утрата нормативно-технической документации на разработанные или приобретенные за счет государственных средств электронных информационных ресурсов, информационных систем и программного обеспечения | 5 баллов |
11 | Отсутствие персонала и нормативно-технической документации для сопровождения программного обеспечения | 5 баллов |
12 | Утрата установочных пакетов программных продуктов | 5 баллов |
Критерии рисков владельцев контрольно-кассовых машин являющихся компьютерной системой и поставщиков информации, кредитных бюро и получателей кредитных отчетов | ||
1 | Отсутствие сертифицированных средств криптографической защиты информации | 20 баллов |
2 | Несоблюдение требований к серверному помещению и помещению ограниченного доступа | 20 баллов |
3 | Отсутствие системы защиты от несанкционированного доступа | 20 баллов |
4 | Использование не сертифицированных на соответствие требованиям информационной безопасности технических и программных средств | 20 баллов |
5 | Отсутствие системы защиты объекта от утечки информации по техническим каналам | 20 баллов |
6 | Несоблюдение требований к рабочему месту пользователя | 10 баллов |
7 | Отсутствие модуля «рабочее место налогового инспектора» | 10 баллов |
8 | Отсутствие средств идентификации и аутентификации пользователей | 10 баллов |
9 | Отсутствие средств проверки целостности системы | 10 баллов |
10 | Отсутствие лицензий на программное и аппаратное обеспечение | 10 баллов |
11 | Отсутствие системы резервного копирования и архивирования данных | 10 баллов |
12 | Непринятие мер по разграничению доступа к ресурсам | 5 баллов |
13 | Отсутствие паспорта рабочего места | 5 баллов |
14 | Отсутствие технической документации, регламентирующей организацию информационного процесса | 5 баллов |
15 | Отсутствие инструкции по обеспечению информационной безопасности рабочего места пользователя | 5 баллов |
7. Определение проверок по степени риска субъекта контроля
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
