Казахстан разработал критерии оценки степени риска в области информатизации и связи

Совместный приказ об утверждении критериев был подписан еще в феврале председателем агентства информатизации и связи (ныне министерство) и министром экономики и бюджетного планирования. Однако он вступает в силу со дня государственной регистрации (с 1 марта) и вводится в действие со дня его первого официального опубликования – с 9 июня.

При этом разработаны разные критерии для оценки риска в области информатизации и в области связи.

Как отмечено в приказе, критерии оценки степени риска в области информатизации «определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска».

При этом понятие риск определено как «вероятность причинения вреда в результате деятельности субъектов информатизации законным интересам личности, общества, государства, с учетом степени тяжести его последствий, а именно: при использовании электронных информационных ресурсов и информационных технологий; финансовый ущерб государству либо физическому лицу за счет использования контрольно-кассовых машин, являющихся компьютерной системой, неразрешенных к использованию на территории Республики Казахстан».

Субъектами информатизации, согласно приказу, являются центральные и местные исполнительные органы, удостоверяющие центры, владельцы государственных информационных ресурсов и информационных систем, поставщики информации, кредитных бюро и получателей кредитных историй, владельцы контрольно-кассовых машин, являющихся компьютерной системой, владельцы негосударственных информационных систем, интегрируемых с государственными информационными системами.

В документе отмечено, что первично все субъекты относятся к высокой степени риска. После проверки они распределяются по степени риска в соответствии с качественными показателями оценки степени риска и согласно набранным баллам.

Например, использование несертифицированных технических средств и программных продуктов оценивается в 10 баллов, наличие вирусов и вредоносных программ – 5 баллов, нарушение требований по интеграции государственных информационных систем с негосударственными информационными системами – 20 баллов, несоблюдение требований к серверному помещению и помещению ограниченного доступа – 20 баллов, отсутствие сертифицированных средств криптографической защиты информации – 20 баллов и так далее.

Дифференциация субъектов по степеням риска осуществляется следующим образом: к группе высокого риска относятся субъекты, набравшие от 20 и более баллов; к группе среднего риска – от 11 до 20 баллов; к группе незначительного риска – от 0 до 10 баллов.