Приложение 1 к совместному приказу Председателя Агентства Республики Казахстан по информатизации и связи от «___» __________ 2009 года, Министра экономики и бюджетного планирования Республики Казахстан от «___» __________ 2009 года |
Критерии оценки степени рисков в сфере информатизации
1. Общие положения
1. Критерии оценки степени рисков в сфере информатизации (далее - Критерии) разработана в соответствии с Законами Республики Казахстан «Об информатизации», «Об электронном документе и электронной цифровой подписи» и «О частном предпринимательстве».
2. Основной целью разработки Критериев является обеспечение открытости и прозрачности планирования и проведения проверок субъектов контроля в сфере информатизации.
3. Уполномоченным органом осуществляющим контроль в сфере информатизации является Агентство Республики Казахстан по информатизации и связи (далее - Агентство).
4. Субъектами контроля в сфере информатизации являются центральные и местные исполнительные органы, Удостоверяющие центры, владельцы государственных информационных ресурсов и информационных систем, поставщики информации, кредитных бюро и получателей кредитных историй, владельцы контрольно-кассовых машин являющихся компьютерной системой, владельцы негосударственных информационных систем, интегрируемых с государственными информационными системами.
5. К нормативным правовым актам регулирования деятельности в сфере информатизации относятся:
1) Законы Республики Казахстан «Об информатизации» и «Об электронном документе и электронной цифровой подписи»;
2) постановления Правительства Республики Казахстан;
3) нормативные правовые акты Агентства;
4) государственные и отраслевые стандарты, регламенты.
Перечень постановлений Правительства Республики Казахстан и приказов Председателя Агентства Республики Казахстан по информатизации и связи по вопросам информатизации приводится в приложении к настоящим Критериям.
2. Цели государственного регулирования
6. Целями государственного регулирования в сфере информатизации являются:
1) обеспечение безопасности личности, общества и государства при использовании электронных информационных ресурсов и применение информационных технологий, в том числе обеспечение равнозначности электронной цифровой подписи собственноручной подписи подписывающего лица и эксплуатации контрольно-кассовых машин являющихся компьютерной системой разрешенных к использованию на территории Республики Казахстан;
2) неприкосновенность частной жизни граждан и строгое соблюдение конституционных прав и свобод граждан, в том числе ограничение получения, обработки и использования персональных данных целями, для которых они собираются.
3. Механизмы государственного регулирования
7. Механизмы государственного регулирования в сфере информатизации подразделяются на ограничительные и поощрительные.
8. К ограничительным механизмам относятся:
1) государственный контроль на предмет соблюдения требований законодательства в сфере информатизации;
2) аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам;
3) испытания программных продуктов, программных кодов и экспертиза нормативно-технической документации государственных информационных систем;
4) экспертиза технико-экономических обоснований и технических заданий на создание электронных информационных ресурсов и информационных систем;
5) участие в приемке в промышленную эксплуатацию электронных информационных ресурсов и информационных систем;
6) мониторинг государственного регистра электронных информационных ресурсов и информационных систем;
7) регистрация электронных информационных ресурсов, информационных систем и программных продуктов, разработанных и приобретенных за счет бюджетных средств;
8) лицензирование деятельности Удостоверяющих центров;
9) заключение о соответствие контрольно-кассовых машин являющихся компьютерной системой техническим требованиям в сфере информатизации.
9. Поощрительными механизмами являются:
1) бюджетные программы государственных органов в сфере информатизации;
2) создание условий для функционирования рынка электронных услуг;
3) совершенствование системы привлечения инвестиций и механизмов стимулирования разработки и реализации инвестиционных проектов и программ в сфере информатизации;
4) оказание практической и методической помощи государственным органам и организациям по вопросам электронного документа и электронной цифровой подписи.
4. Критерии оценки риской в сфере информатизации
10. Рисками в сфере информатизации являются:
1) утечка и несанкционированный доступ к конфиденциальной и служебной информации;
2) утрата прав на электронные информационные ресурсы и информационные системы, разработанные или приобретенные за счет бюджетных средств;
3) финансовый ущерб государству либо физическому лицу за счет использования контрольно-кассовых машин являющихся компьютерной системой неразрешенных к использованию на территории Республики Казахстан.
11. К факторам возникновения рисков относятся:
1) эксплуатация нелицензионного и несертифицированных программных и технических средств;
2) уязвимости в аппаратно-программных средствах защиты информации;
3) нарушение целостности информации;
4) отсутствие аттестата о соответствии информационных ресурсов и информационных систем требованиям информационной безопасности;
5) нелегитимное использование средств криптографической защиты информации;
6) не представление для включения в государственный регистр электронных информационных ресурсов, информационных систем и программных продуктов;
7) осуществления деятельности Удостоверяющим центром без разрешительных документов (лицензии);
8) компрометация закрытого ключа Удостоверяющего центра;
9) эксплуатация контрольно-кассовых машин являющихся компьютерной системой не включенных в государственный реестр контрольно-кассовых машин.
12. Агентством проводится ежемесячный мониторинг уязвимости аппаратно-программных средств инфраструктуры «электронного правительства».
13. Степень уязвимости подразделяется на:
Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации, расширяющий полномочия;
Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации.
Статистические данные по выявленным уязвимостям за 2009 год приведены в таблице № 1.
Таблица № 1
Уровень риска | январь | февраль | март | апрель | май | июнь | июль | август | сентябрь |
Высокий | 63 | 22 | 49 | 59 | 33 | 34 | 33 | 36 | 36 |
Средний | 85 | 130 | 49 | 93 | 66 | 78 | 88 | 66 | 64 |
Всего | 148 | 152 | 98 | 152 | 99 | 112 | 121 | 102 | 100 |
14. Данные Комитета по правовой статистике и специальным учетам Генеральной прокуратуры Республики Казахстан по уголовным делам за несанкционированный доступ к компьютерной информации, создание, использование и распространение вредоносных программ на электронную вычислительную машину, также свидетельствует о наличие данных правонарушений (Таблица № 2).
Таблица № 2
Период | Количества заведенных уголовных дел за отечный период | Количество зарегистриро-ванных уголовных дел за отчетный период | Количество уголовных дел, направ-ленных в суд, в отчетный период | Количество закрытых уголовных дел на основании виновности | Количество закрытых уголовных дел на основании невиновности | Количество приостанов-ленных дел |
8 месяцев 2009 года | 29 | 27 | 16 | 6 | 0 | 1 |
15. Министерством внутренних дел Республики Казахстан в 2009 году возбуждено 56 уголовных дел за преступления, связанные с несанкционированным доступом в компьютерные сети и взлома паролей личной электронной почты, 10 за незаконное использование услуг связи и Интернет за чужой счет.
16. В соответствии со статьей 23 Закона Республики Казахстан «Об информатизации» (далее - Закон) государственные электронные информационные ресурсы и государственные информационные системы подлежат обязательному учету в государственном регистре электронных информационных ресурсов и информационных систем в порядке, установленном Законом.
Несоблюдение этих требований влечет за собой недействительность сделок с государственными электронными информационными ресурсами и информационными системами.
Государственный регистр электронных информационных ресурсов и информационных систем (далее – Государственный регистр) - систематизированный перечень, включающий свод описаний электронных информационных ресурсов и информационных систем.
17. Согласно статьи 24 Закона, собственник или владелец зарегистрированных электронных информационных ресурсов и (или) информационных систем ежегодно, не позднее 30 марта, представляет в уполномоченный орган сообщение об обновлении электронных информационных ресурсов и информационных систем либо об отсутствии обновлений, либо о прекращении их эксплуатации с мотивированным изложением причин прекращения эксплуатации по формам, утвержденным уполномоченным органом.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
