Абдикаликов Р.К.
ҚР ЦДИАӨМ Ақпараттық қауіпсіздік комитетінің төрағасы
Уалиев Данияр
- Абдикаликов Р.К.
- 24.01.2022
- · Өтініш қабылданды·
- · Денсаулық сақтау ·
- 14
- № 723488
Здравствуйте! по поводу приложения Ашык и Каспий голд, с помощью которых мы сканируем штрих коды показываем статус вакцинации. Есть уязвимое место в приложении Ашык. Получается у меня есть Каспий Голд, на котором я всегда зарегистрирован, сканирую QR код и прохожу с зеленым статусом, Так же есть Приложение Ашык его могу регистрировать на свой телефон или регистрирую на телефоне супруги, и получается она от моего имени заходит с зеленым статусом, хотя супруга не вакцинирована. В Связи с этим, необходимо чтобы приложение Ашык, регистрировался только у одного человека, (был у одного абонента закреплен под один телефон) потому что приложение Ашык, Вакцинированный человек может регистрировать себя несколько раз на разные телефоны, на разных людей. для этого просто нужно зайти в приложение Ашык и нажать на авторизацию, после чего придет смс с кодом, далее набрать полученный код на любой мобильный телефон. после прохождения авторизации, вы получаете статус вакцинированного человека, С уважением Данияр Уалиев +7 777 471 8880, если меня не поняли позвоните, я по телефону объясню. ...
ТолығырақКУЛУШБЕКОВ САМАТ
- Абдикаликов Р.К.
- 17.01.2022
- · Өтініш қабылданды·
- · Ақпараттық және коммуникациялық технологиялар ·
- 15
- № 722365
Уваажемый Руслан Кенжебекович! Наша компания уведомила о начале майнинговой деятельности. Согласно Правил, утверждённых приказом министра от 13 октября 2020 года № 384/НҚ, до 10 числа мы обязаны предоставить информацию о майнинговой деятельности. Возникло недопонимание, просим разъяснить в чем отличие «планируемых инвестициях в оборудование центров обработки данных» и «потенциал инвестиций, запланированных на текущий год для развития инфраструктуры центров обработки данных» ...
ТолығырақЖолданова Айман
- Абдикаликов Р.К.
- 22.12.2021
- · Өтініш қабылданды·
- · Ерікті тақырыбы ·
- 234
- № 719759/2
заявление Прошу провести проверку по изложенным ниже фактам внедрении проекта «Ashyq» и принять соответствующее процессуальное решение. Полагаю, что такое внедрение произведено с нарушением действующего законодательства . 1.02.21 г. в городах Алматы и Нур-Султан по информации палаты Атамекен стартовал пилотный проект по использованию программы «Ashyq», являющейся частной собственностью ее разработчиков – Пустовойтенко В.В. и Биахметова А.К. (далее по тексту разработчики). При этом, как следует из открытых источников (https://atameken.kz/ru/news/40622-chasto-zadavaemye-voprosy-po-pilotnomu-proektu-ashyk), эта программа разработана по заказу Министерства цифрового развития, инновации и аэрокосмической промышленности РК (далее - МЦРИАП). При этом, какого-либо административного акта о внедрении данного частного приложения и законных оснований для использования его государством нигде не упоминается. 18.02.21 г. программа «Ashyq» передана ее разработчиками по лицензионному договору ТОО "Digital innovation and transformation" ( БИН180640010846), где они являются учредителями. Согласно ст.966 ГК РК по лицензионному договору сторона, обладающая исключительным правом на результат интеллектуальной творческой деятельности (лицензиар), предоставляет другой стороне (лицензиату) право временно использовать соответствующий объект интеллектуальной собственности определенным способом. Лицензионный договор предполагается возмездным. Договор о предоставлении лицензиатом права использования объекта интеллектуальной собственности другому лицу признается сублицензионным договором. 26.02.21 года Главным государственным санитарным врачом РК вынесено первое постановление №7 "О проведении пилота по внедрению мобильного приложения «Ashyq» на объектах предпринимательства в городах Нур-Султан, Алматы и Караганда". В итоге, население трех мегаполисов Казахстана фактически приняли участие в тестировании частной программной разработка, не зная об этом. 30 апреля 2021 года Главным государственным санитарным врачом вынесено постановление № 18 «О внедрении мобильного приложения «Ashyq» на объектах предпринимательства», которым решено масштабировать реализацию проекта «Ashyq» на объектах предпринимательства на все регионы Республики Казахстан. 14.05.21 г. ТОО "Digital innovation and transformation" по сублицензионному договору № 1 безвозмездно передало МЦРИАП РК право пользования ПО «Ashyq» сроком на 10-ть лет. Полагаю данный Договор составлен с нарушением законодательства, так как не содержит каких-либо характеристик /описания программного продукта (исходные программные коды, комплекс настроек программного обеспечения), отсутствуют в нем и ссылки на техническую документацию, сопровождающую его . Буквальное применение ст.966 ГК РК о возмездности лицензионного договора, дает основание предлагать, что лицензиар - ТОО "Digital innovation and transformation", вносит плату за использование программы ее разработчикам (учредителям ТОО), после чего безвозмездно, в убыток себе, передает право пользования ею государству в лице МЦРИАП РК. 17.05.21 г. МЦРИАП РК комиссионным актом ввело ПО «Ashyq» в опытную эксплуатацию. Однако член приемочной комиссии – Есенбаев Б.С. , директор Департамента развития цифрового здравоохранения Министерства здравоохранения, данный акт не подписал. Согласно п.6-6 ст.1 закона «Об информатизации» опытная эксплуатация объекта информатизации - эксплуатация объекта информатизации в пилотной зоне, проводимая с целью выявления и устранения недостатков его функционирования и определения соответствия требованиям технической документации. Из указанного следует, что к 17.05.21 г. уже должна существовать техническая документация на программу«Ashyq», а использоваться она могла только в пилотном режиме в отдельных регионах (пилотных зонах), ни никак не на всей территории РК. 4.08.21 г. в приказ № 107 от 28.01.2016 г. и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан внесены изменения приказом № 275/НҚ : ПО «Ashyq» включен в перечень объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства" (АО «Национальные информационные технологии», далее – АО «НИТ»). 26.08.21 Главным государственным санитарным врачом Республики Казахстан вынесено постановление № 37 «О внедрении проекта «Ashyq», которым предписано продолжить реализацию и внедрение проекта «Ashyq» на всей территории РК с расширением списка объектов ; информировать население, физических и юридических лиц о необходимости использования мобильного приложения «Ashyq», в т.ч. других платформ (к примеру, аналог на платформе в eGov mobile, Аitu, Kaspi.kz, Halyk Bank, Sberbank.kz, сайт www.ashyq.kz) для входа на объекты, участвующие в проекте. 24.09.21 г. Главным государственным санитарным врачом Республики Казахстан вынесено следующее постановление № 44 «О внедрении проекта «Ashyq»». Помимо расширения перечня объектов, данным постановлением введена дискриминационная норма о запрете допуска на объекты в выходные дни лиц, не обладающих «зеленым» статусом (вакцинация, наличие ПЦР теста с отрицательным результатом не более 7 суток с момента отбора проб, наличие постоянного медицинского противопоказания к вакцинации против КВИ, или переболевшие КВИ в течение последних 3 месяцев) . 10.09.21 г. между МЦРИАП РК и АО «Национальные информационные технологии» заключены два договора : -№110 по системно-техническому обслуживанию программного обеспечения «Платформа «Ashyq” ; -№111 по сопровождению программного обеспечения «Платформа «Ashyq», в рамках которого в 4 квартале 2021 года запланировано проведение работ по разработке технической документации по информационной безопасности согласно Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, а также проведение внутреннего аудита информационной безопасности. Прохождение испытаний на соответствие требованиям информационной безопасности программного обеспечения «Платформа «Ashyq» запланировано на 2022 год после утверждения всех необходимых документов по ИБ. Все это говорит о том, что на 14.05.21 г. (момент заключения сублицензионного договора) на ПО «Ashyq» отсутствовала техническая документация по информационной безопасности, что исключает проведения опытной эксплуатацию, в ходе которой должно производиться определение соответствия требованиям программы технической документации. Считаю, что при внедрении пилота проекта «Ashyq» и последующем его масштабировании на всей территории РК были допущены грубые нарушения действующего закона, в которых, полагаю, усматриваются признаки уголовных правонарушений , включая, но не ограничиваясь, правонарушениями в сфере государственного управления, конституционных прав и свобод граждан (ст.145 УК РК - нарушение равноправия человека и гражданина ( ограничение прав граждан исходя из презумпции их изначальной инфекционной опасности для окружающих, вакцинированности, результатов ПЦР-тестирования, обозначение людей цветными статусами), ст.147 УК РК-нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите, (сбор и передача персональных данных в отсутствии согласия их обладателя в другие информационные системы по небезопасным каналам), в сфере информатизации и связи (ст.211 УК РК - неправомерное распространение электронных информационных ресурсов ограниченного доступа). Полагаю при внедрении ПО «Ashyq» допущены следующие нарушения: I. Нарушение процедуры принятия решения об автоматизации Согласно п. 8 постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 « Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» ( далее - Единые требования) информатизация ГО (гос.орган) осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона «Об информатизации», а в случае ее отсутствия – на основании решения государственного органа о необходимости автоматизации, согласованного с уполномоченным органом в сфере информатизации (далее – уполномоченный орган). Государственные органы обеспечивают публичное обсуждение планируемой автоматизации деятельности в целях привлечения потенциальных поставщиков, уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации "электронного правительства". Уполномоченный орган для проведения анализа запроса государственного органа привлекает сервисного интегратора "электронного правительства". На основании заключения сервисного интегратора уполномоченный орган согласовывает либо отказывает в согласовании автоматизации деятельности государственного органа. В нарушение указанных норм решение об автоматизации функции МЗ РК по санитарно-эпидемиологическому контролю в указанном выше порядке принято не было. Более того, принятие такого решение не соответствовало бы п. 1 ст. 58 Кодекса о здоровье народа и системе здравоохранения, допускающей использование цифровых технологий в здравоохранении для трансформации медицинских и административно-управленческих процессов здравоохранения, только в целях повышение доступности, эффективности, качества и безопасности медицинской помощи. Очевидно, что ПО «Ashyq» никоим образом не связан с оказанием медицинской помощи. II. Нарушение порядка разработки программного обеспечения Согласно ст. 39 закона «Об информатизации» исходным этапом создания и развития объектов информатизации «электронного правительства» является разработка технического задания . Последующие этапы такого процесса включают в себя : 1) разработку объекта информатизации «электронного правительства»; 2) проведение опытной эксплуатации в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, в том числе: документирование процедур проведения опытной эксплуатации; оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением; оформление акта о завершении опытной эксплуатации. 3) испытание объекта информатизации на соответствие требованиям информационной безопасности; 4) внедрение объекта информатизации в соответствии с действующими стандартами; 5) ввод в промышленную эксплуатацию в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации ,а также наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности. Согласно постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 « Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» : п.69-1. Промышленная эксплуатация сервисного программного продукта допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности, протокола испытаний с целью оценки качества в соответствии с требованиями программной документации и действующих на территории Республики Казахстан стандартов в сфере информатизации и протокола экспертизы программной документации. п. 87. Ввод в промышленную эксплуатацию информационной системы ГО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО ( местных исполнительных органов) и организаций. Отсутствие технического задания на программный продукт «Ashyq» исключает возможность его опытной эксплуатации. Тем не менее, фактически он уже запущено на платформе «электронного правительства» в режиме «промышленной эксплуатации в отсутствии актов о положительном завершения опытной эксплуатации и положительном результате испытаний на соответствие требованиям информационной безопасности. IП. Нарушение порядка приобретения программы Получение МЦРИАП РК права на безвозмездное использование ПО «Ashyq» по сублицензионному договору от ТОО «Digital innovation and transformation» противоречит ст.966 ГК РК, согласно которой лицензионный договор предполагается возмездным. Кроме того, согласно ст.1 закона «О государственных закупках» в порядке государственных закупок должны приобретаться товары, работы, услуги, необходимые для обеспечения функционирования, а также выполнения государственных функций либо уставной деятельности заказчика, за конкретными исключениями, в число которых не входит приобретение прав на программное обеспечение. Согласно п.13 Единых требований обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем: 1) закупа, с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчетов расходов на государственные закупки товаров, работ и услуг в сфере информатизации; 2) приобретения информационно-коммуникационной услуги в соответствии с каталогом информационно-коммуникационных услуг. Нарушение вышеуказанных норм не исключает коррупционные правонарушения при приобретении прав на указанную программу. IV. Нарушение порядка интеграции ПО «Ashyq» с другими приложениями ПО «Ashyq» интегрировано как минимум со следующими информационными системами : Единый интеграционный портал ПЦР-исследований; Центр Контроля COVID-19 МЗ РК;приложением Damumed, банковскими приложениями (Каспий банк, Народный банк, Банк Хоум Кредит ), базами БИН, ИИН ; базами абонентов сотовой связи. Согласно п.98 постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832: «для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации»; не подлежат копированию данные из информационных систем, находящихся в промышленной эксплуатации, в испытательную среду. Таким образом, буквальное применение указанной нормы Единых требований означает не допустимость использования в опытной версии ПО «Ashyq» реальных персональных данных пользователей из других информационных систем, уже введенных в промышленную эксплуатацию из-за возможности их утечки через имеющиеся уязвимости в «Ashyq», не имеющим даже технической документации по информ.безопасности. V. Необеспечение защиты персональных данных пользователей Согласно п.6-6 ст.1 закона «Об информатизации» опытная эксплуатация допускается только в пилотной зоне. Принцип участия в пилотных проектах – добровольность. Так, например, согласно п.13 приказа и.о. Министра финансов Республики Казахстан от 1 июля 2020 года № 648 «Об утверждении Правил проведения пилотного проекта по горизонтальному мониторингу» для участия в пилотном проекта налогоплательщик подает заявление о заключении Соглашения о пилотном проекте по горизонтальному мониторингу в Комитет. Другой пример : согласно пункта 4 «Положения о реализации пилотного проекта по внедрению досудебного урегулирования споров (конфликтов) по отдельным категориям споров в порядке медиации», утвержденного распоряжением Председателя Верховного Суда Республики Казахстан от 26 января 2017 года реализуется по принципу добровольности участия в медиации. Принуждая к участию в пилотном проекте, государственные органы , его внедрившие, не обеспечивают защиту персональных данных, нарушают принцип свободного выражения согласия на их сбор и обработку, не раскрывают всех условий использования полученных персональных данных. Согласно п.9 Правил разграничения прав доступа субъектов цифрового здравоохранения, утв. приказом МЗ РК от 23.06.21 г. согласие владельца персональных медицинских данных и (или) его законного представителя на обработку его персональных медицинских данных включает в себя: помимо ИИНа, ФИО и документа, удостоверяющего личность, также : 1.наименование или ИИН, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса субъекта цифрового здравоохранения; его сотрудника, ответственного за организацию обработки персональных данных и получающего согласие владельца персональных медицинских данных; 2.дату начала обработки персональных данных; 3.перечень персональных медицинских данных, на обработку которых дается согласие; 4.перечень действий с персональными медицинскими данными, на совершение которых дается согласие, общее описание используемых субъектом цифрового здравоохранения способов обработки персональных медицинских данных; 5.срок, в течение которого действует согласие владельца персональных медицинских данных и (или) его законного представителя, а также способ его отзыва; 6.сведения о месте нахождения базы данных, содержащей персональные данные. Кроме того, постановлениями Главного государственного санитарного врача предусмотрена необходимость использования мобильного приложения «Ashyq», в т.ч. на платформе на платформе Аitu. Согласно политике конфиденциальности разработчика «AITU» - ТОО «BTS DIGITAL», размещённой в профиле приложения «Ashyq бизнес» : -при использовании Сервисов Компания или ее Партнер могут собирать и обрабатывать данные Пользователя, включая : номер мобильного телефона, адрес электронной почты,IP адрес, информацию и геолокации, историю поисковых запросов, дату и время визитов, а также доступные «cookies», информацию о браузере и операционной системе, данные предоставленные пользователем : аватар, имя, пол, дата рождения, согласия и подтверждение прав доступа и другие данные….( п.2.2 политики конфиденциальности); - невзирая на положения пунктов 4.1-4.3 выше, Пользователь осознает, что его данные передаются через интернет, и Компания не гарантирует безопасность передаваемых Пользователем данных, несанкционированный доступ к ним может быть получен 3-ми лицами в результате каких-либо неправомерных действий. В этой связи любая передача данных совершается Пользователем на собственный риск , и Компания не несет ответственность в связи с утечкой данных или их части и причинения соответствующего ущерба пользователю (п.4.4политики). VI. Нарушение равноправия граждан Использование приложения «Ashyq» ведет к прямому ограничению прав и свобод человека (гражданина) исходя из статуса его здоровья в зависимости от вакцинированности , результата ПЦР-теста без учета реальной его опасности для окружающих. Недопуск здоровых лиц в выходные дни на объекты, использующие «Ashyq», является очевидным незаконным нарушением равноправия граждан и скрытой формой принуждения к вакцинации. На основании выше изложенного, так как действия государственных органов, должностных лиц нарушают права, свободы и законные интересы неограниченного круга лиц, руководствуясь п.1 ст. 5, ч. 2 ст. 6 Закона РК «О прокуратуре РК», ст.21 закона РК « О противодействии коррупции» прошу : 1.Провести проверку законности разработки и внедрения, сопровождения и обслуживания ПО «Ashyq» в отношении должностных лиц : Министерства цифровых технологий, инноваций и аэрокосмической промышленности РК, Министерства здравоохранения РК, Главного государственного санитарного врача – вице –министра Киясова Е.А., АО «Национальные информационные технологии», а также их взаимоотношений : с разработчиками ПО «Ashyq» - Пустовойтенко В. и Биахметовым А., лицензиатом - ТОО "Digital innovation and transformation", собственником платформы «AITU» - ТОО «BTS DIGITAL». 2.По результатам проверки – принять процессуальное решение. 3. О результатах рассмотрения данного заявления и окончательно принятом процессуальном решении прошу уведомить меня с приложением копии соответствующего процессуального документа. Приложение : акт ввода в опытную эксплуатацию от 17.05.21 г., сублицензионный договор № 1 от 14.05.21 г., скрин-шоты «Ashyq» с приложения AITU, справки о регистрации ТОО "Digital innovation and transformation» и ТОО «BTS DIGITAL»,пользовательское соглашение , скрин-шот с сайта Национальной палаты «Атамекен». Заявитель : Жолданова А.Т. ...
ТолығырақБоголова Залина
- Абдикаликов Р.К.
- 22.12.2021
- · Өтініш қабылданды·
- · Ақпараттық және коммуникациялық технологиялар ·
- 11
- № 719662/3
Заявление Прошу провести проверку по изложенным ниже фактам внедрении проекта «Ashyq» и принять соответствующее процессуальное решение. Полагаю, что такое внедрение произведено с нарушением действующего законодательства. 1.02.21 г. в городах Алматы и Нур-Султан по информации палаты Атамекен стартовал пилотный проект по использованию программы «Ashyq», являющейся частной собственностью ее разработчиков – Пустовойтенко В.В. и Биахметова А.К. (далее по тексту разработчики). При этом, как следует из открытых источников (https://atameken.kz/ru/news/40622-chasto-zadavaemye-voprosy-po-pilotnomu-proektu-ashyk), эта программа разработана по заказу Министерства цифрового развития, инновации и аэрокосмической промышленности РК (далее - МЦРИАП). При этом, какого-либо административного акта о внедрении данного частного приложения и законных оснований для использования его государством нигде не упоминается. 18.02.21 г. программа «Ashyq» передана ее разработчиками по лицензионному договору ТОО "Digital innovation and transformation" ( БИН180640010846), где они являются учредителями. Согласно ст.966 ГК РК по лицензионному договору сторона, обладающая исключительным правом на результат интеллектуальной творческой деятельности (лицензиар), предоставляет другой стороне (лицензиату) право временно использовать соответствующий объект интеллектуальной собственности определенным способом. Лицензионный договор предполагается возмездным. Договор о предоставлении лицензиатом права использования объекта интеллектуальной собственности другому лицу признается сублицензионным договором. 26.02.21 года Главным государственным санитарным врачом РК вынесено первое постановление №7 "О проведении пилота по внедрению мобильного приложения «Ashyq» на объектах предпринимательства в городах Нур-Султан, Алматы и Караганда". В итоге, население трех мегаполисов Казахстана фактически приняли участие в тестировании частной программной разработка, не зная об этом. 30 апреля 2021 года Главным государственным санитарным врачом вынесено постановление № 18 «О внедрении мобильного приложения «Ashyq» на объектах предпринимательства», которым решено масштабировать реализацию проекта «Ashyq» на объектах предпринимательства на все регионы Республики Казахстан. 14.05.21 г. ТОО "Digital innovation and transformation" по сублицензионному договору № 1 безвозмездно передало МЦРИАП РК право пользования ПО «Ashyq» сроком на 10-ть лет. Полагаю данный Договор составлен с нарушением законодательства, так как не содержит каких-либо характеристик /описания программного продукта (исходные программные коды, комплекс настроек программного обеспечения), отсутствуют в нем и ссылки на техническую документацию, сопровождающую его. Буквальное применение ст.966 ГК РК о возмездности лицензионного договора, дает основание предлагать, что лицензиар - ТОО "Digital innovation and transformation", вносит плату за использование программы ее разработчикам (учредителям ТОО), после чего безвозмездно, в убыток себе, передает право пользования ею государству в лице МЦРИАП РК. 17.05.21 г. МЦРИАП РК комиссионным актом ввело ПО «Ashyq» в опытную эксплуатацию. Однако член приемочной комиссии – Есенбаев Б.С., директор Департамента развития цифрового здравоохранения Министерства здравоохранения, данный акт не подписал. Согласно п.6-6 ст.1 закона «Об информатизации» опытная эксплуатация объекта информатизации - эксплуатация объекта информатизации в пилотной зоне, проводимая с целью выявления и устранения недостатков его функционирования и определения соответствия требованиям технической документации. Из указанного следует, что к 17.05.21 г. уже должна существовать техническая документация на программу «Ashyq», а использоваться она могла только в пилотном режиме в отдельных регионах (пилотных зонах), ни никак не на всей территории РК. 4.08.21 г. в приказ № 107 от 28.01.2016 г. и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан внесены изменения приказом № 275/НҚ: ПО «Ashyq» включен в перечень объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства" (АО «Национальные информационные технологии», далее – АО «НИТ»). 26.08.21 Главным государственным санитарным врачом Республики Казахстан вынесено постановление №37«О внедрении проекта «Ashyq», которым предписано продолжить реализацию и внедрение проекта «Ashyq» на всей территории РК с расширением списка объектов ; информировать население, физических и юридических лиц о необходимости использования мобильного приложения «Ashyq», в т.ч. других платформ (к примеру, аналог на платформе в eGov mobile, Аitu, Kaspi.kz, Halyk Bank, Sberbank.kz, сайт www.ashyq.kz) для входа на объекты, участвующие в проекте. 24.09.21 г. Главным государственным санитарным врачом Республики Казахстан вынесено следующее постановление № 44«О внедрении проекта «Ashyq»». Помимо расширения перечня объектов, данным постановлением введена дискриминационная норма о запрете допуска на объекты в выходные дни лиц, не обладающих «зеленым» статусом (вакцинация, наличие ПЦР теста с отрицательным результатом не более 7 суток с момента отбора проб, наличие постоянного медицинского противопоказания к вакцинации против КВИ, или переболевшие КВИ в течение последних 3 месяцев) . 10.09.21 г. между МЦРИАП РК и АО «Национальные информационные технологии» заключены два договора: -№110 по системно-техническому обслуживанию программного обеспечения «Платформа «Ashyq»; -№111 по сопровождению программного обеспечения «Платформа «Ashyq», в рамках которого в 4 квартале 2021 года запланировано проведение работ по разработке технической документации по информационной безопасности согласно Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, а также проведение внутреннего аудита информационной безопасности. Прохождение испытаний на соответствие требованиям информационной безопасности программного обеспечения «Платформа «Ashyq» запланировано на 2022 год после утверждения всех необходимых документов по ИБ. Все это говорит о том, что на 14.05.21 г. (момент заключения сублицензионного договора) на ПО «Ashyq» отсутствовала техническая документация по информационной безопасности, что исключает проведения опытной эксплуатацию, в ходе которой должно производиться определение соответствия требованиям программы технической документации. Считаю, что при внедрении пилота проекта «Ashyq» и последующем его масштабировании на всей территории РК были допущены грубые нарушения действующего закона, в которых, полагаю, усматриваются признаки уголовных правонарушений , включая, но не ограничиваясь, правонарушениями в сфере государственного управления, конституционных прав и свобод граждан (ст.145 УК РК - нарушение равноправия человека и гражданина ( ограничение прав граждан исходя из презумпции их изначальной инфекционной опасности для окружающих, вакцинированности, результатов ПЦР-тестирования, обозначение людей цветными статусами), ст.147 УК РК-нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите, (сбор и передача персональных данных в отсутствии согласия их обладателя в другие информационные системы по небезопасным каналам), в сфере информатизации и связи (ст.211 УК РК - неправомерное распространение электронных информационных ресурсов ограниченного доступа). Полагаю при внедрении ПО «Ashyq» допущены следующие нарушения: I. Нарушение процедуры принятия решения об автоматизации Согласно п. 8 постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 « Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» ( далее - Единые требования) информатизация ГО (гос.орган) осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона «Об информатизации», а в случае ее отсутствия – на основании решения государственного органа о необходимости автоматизации, согласованного с уполномоченным органом в сфере информатизации (далее – уполномоченный орган). Государственные органы обеспечивают публичное обсуждение планируемой автоматизации деятельности в целях привлечения потенциальных поставщиков, уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации "электронного правительства". Уполномоченный орган для проведения анализа запроса государственного органа привлекает сервисного интегратора "электронного правительства". На основании заключения сервисного интегратора уполномоченный орган согласовывает либо отказывает в согласовании автоматизации деятельности государственного органа. В нарушение указанных норм решение об автоматизации функции МЗ РК по санитарно-эпидемиологическому контролю в указанном выше порядке принято не было. Более того, принятие такого решение не соответствовало бы п. 1 ст. 58 Кодекса о здоровье народа и системе здравоохранения, допускающей использование цифровых технологий в здравоохранении для трансформации медицинских и административно-управленческих процессов здравоохранения, только в целях повышение доступности, эффективности, качества и безопасности медицинской помощи. Очевидно, что ПО «Ashyq» никоим образом не связан с оказанием медицинской помощи. II. Нарушение порядка разработки программного обеспечения Согласно ст. 39 закона «Об информатизации» исходным этапом создания и развития объектов информатизации «электронного правительства» является разработка технического задания . Последующие этапы такого процесса включают в себя : 1) разработку объекта информатизации «электронного правительства»; 2) проведение опытной эксплуатации в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, в том числе: документирование процедур проведения опытной эксплуатации; оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением; оформление акта о завершении опытной эксплуатации. 3) испытание объекта информатизации на соответствие требованиям информационной безопасности; 4) внедрение объекта информатизации в соответствии с действующими стандартами; 5) ввод в промышленную эксплуатацию в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации ,а также наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности. Согласно постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 « Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» : п.69-1. Промышленная эксплуатация сервисного программного продукта допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности, протокола испытаний с целью оценки качества в соответствии с требованиями программной документации и действующих на территории Республики Казахстан стандартов в сфере информатизации и протокола экспертизы программной документации. п. 87. Ввод в промышленную эксплуатацию информационной системы ГО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО ( местных исполнительных органов) и организаций. Отсутствие технического задания на программный продукт «Ashyq» исключает возможность его опытной эксплуатации. Тем не менее, фактически он уже запущено на платформе «электронного правительства» в режиме «промышленной эксплуатации в отсутствии актов о положительном завершения опытной эксплуатации и положительном результате испытаний на соответствие требованиям информационной безопасности. IП. Нарушение порядка приобретения программы Получение МЦРИАП РК права на безвозмездное использование ПО «Ashyq» по сублицензионному договору от ТОО «Digital innovation and transformation» противоречит ст.966 ГК РК, согласно которой лицензионный договор предполагается возмездным. Кроме того, согласно ст.1 закона «О государственных закупках» в порядке государственных закупок должны приобретаться товары, работы, услуги, необходимые для обеспечения функционирования, а также выполнения государственных функций либо уставной деятельности заказчика, за конкретными исключениями, в число которых не входит приобретение прав на программное обеспечение. Согласно п.13 Единых требований обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем: 1) закупа, с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчетов расходов на государственные закупки товаров, работ и услуг в сфере информатизации; 2) приобретения информационно-коммуникационной услуги в соответствии с каталогом информационно-коммуникационных услуг. Нарушение вышеуказанных норм не исключает коррупционные правонарушения при приобретении прав на указанную программу. IV. Нарушение порядка интеграции ПО «Ashyq» с другими приложениями ПО «Ashyq» интегрировано как минимум со следующими информационными системами : Единый интеграционный портал ПЦР-исследований; Центр Контроля COVID-19 МЗ РК;приложением Damumed, банковскими приложениями (Каспий банк, Народный банк, Банк Хоум Кредит ), базами БИН, ИИН ; базами абонентов сотовой связи. Согласно п.98 постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832: «для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации»; не подлежат копированию данные из информационных систем, находящихся в промышленной эксплуатации, в испытательную среду. Таким образом, буквальное применение указанной нормы Единых требований означает не допустимость использования в опытной версии ПО «Ashyq» реальных персональных данных пользователей из других информационных систем, уже введенных в промышленную эксплуатацию из-за возможности их утечки через имеющиеся уязвимости в «Ashyq», не имеющим даже технической документации по информ.безопасности. V. Необеспечение защиты персональных данных пользователей Согласно п.6-6 ст.1 закона «Об информатизации» опытная эксплуатация допускается только в пилотной зоне. Принцип участия в пилотных проектах – добровольность. Так, например, согласно п.13 приказа и.о. Министра финансов Республики Казахстан от 1 июля 2020 года № 648 «Об утверждении Правил проведения пилотного проекта по горизонтальному мониторингу» для участия в пилотном проекта налогоплательщик подает заявление о заключении Соглашения о пилотном проекте по горизонтальному мониторингу в Комитет. Другой пример: согласно пункта 4 «Положения о реализации пилотного проекта по внедрению досудебного урегулирования споров (конфликтов) по отдельным категориям споров в порядке медиации», утвержденного распоряжением Председателя Верховного Суда Республики Казахстан от 26 января 2017 года реализуется по принципу добровольности участия в медиации. Принуждая к участию в пилотном проекте, государственные органы, его внедрившие, не обеспечивают защиту персональных данных, нарушают принцип свободного выражения согласия на их сбор и обработку, не раскрывают всех условий использования полученных персональных данных. Согласно п.9 Правил разграничения прав доступа субъектов цифрового здравоохранения, утв. приказом МЗ РК от 23.06.21 г. согласие владельца персональных медицинских данных и (или) его законного представителя на обработку его персональных медицинских данных включает в себя: помимо ИИНа, ФИО и документа, удостоверяющего личность, также : 1.наименование или ИИН, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса субъекта цифрового здравоохранения; его сотрудника, ответственного за организацию обработки персональных данных и получающего согласие владельца персональных медицинских данных; 2.дату начала обработки персональных данных; 3.перечень персональных медицинских данных, на обработку которых дается согласие; 4.перечень действий с персональными медицинскими данными, на совершение которых дается согласие, общее описание используемых субъектом цифрового здравоохранения способов обработки персональных медицинских данных; 5.срок, в течение которого действует согласие владельца персональных медицинских данных и (или) его законного представителя, а также способ его отзыва; 6.сведения о месте нахождения базы данных, содержащей персональные данные. Кроме того, постановлениями Главного государственного санитарного врача предусмотрена необходимость использования мобильного приложения «Ashyq», в т.ч. на платформе на платформе Аitu. Согласно политике конфиденциальности разработчика «AITU» - ТОО «BTS DIGITAL», размещённой в профиле приложения «Ashyq бизнес»: -при использовании Сервисов Компания или ее Партнер могут собирать и обрабатывать данные Пользователя, включая : номер мобильного телефона, адрес электронной почты,IP адрес, информацию и геолокации, историю поисковых запросов, дату и время визитов, а также доступные «cookies», информацию о браузере и операционной системе, данные предоставленные пользователем : аватар, имя, пол, дата рождения, согласия и подтверждение прав доступа и другие данные….( п.2.2 политики конфиденциальности); - невзирая на положения пунктов 4.1-4.3 выше, Пользователь осознает, что его данные передаются через интернет, и Компания не гарантирует безопасность передаваемых Пользователем данных, несанкционированный доступ к ним может быть получен 3-ми лицами в результате каких-либо неправомерных действий. В этой связи любая передача данных совершается Пользователем на собственный риск , и Компания не несет ответственность в связи с утечкой данных или их части и причинения соответствующего ущерба пользователю (п.4.4политики). VI. Нарушение равноправия граждан Использование приложения «Ashyq» ведет к прямому ограничению прав и свобод человека (гражданина) исходя из статуса его здоровья в зависимости от вакцинированности , результата ПЦР-теста без учета реальной его опасности для окружающих. Недопуск здоровых лиц в выходные дни на объекты, использующие «Ashyq», является очевидным незаконным нарушением равноправия граждан и скрытой формой принуждения к вакцинации. На основании выше изложенного, так как действия государственных органов, должностных лиц нарушают права, свободы и законные интересы неограниченного круга лиц, руководствуясь п.1 ст. 5, ч. 2 ст. 6 Закона РК «О прокуратуре РК», ст.21 закона РК « О противодействии коррупции» прошу: 1.Провести проверку законности разработки и внедрения, сопровождения и обслуживания ПО «Ashyq» в отношении должностных лиц : Министерства цифровых технологий, инноваций и аэрокосмической промышленности РК, Министерства здравоохранения РК, Главного государственного санитарного врача – вице –министра Киясова Е.А., АО «Национальные информационные технологии», а также их взаимоотношений : с разработчиками ПО «Ashyq» - Пустовойтенко В. и Биахметовым А., лицензиатом - ТОО "Digital innovation and transformation", собственником платформы «AITU» - ТОО «BTS DIGITAL». 2.По результатам проверки – принять процессуальное решение. 3. О результатах рассмотрения данного заявления и окончательно принятом процессуальном решении прошу уведомить меня с приложением копии соответствующего процессуального документа. Приложение: акт ввода в опытную эксплуатацию от 17.05.21 г., сублицензионный договор № 1 от 14.05.21 г., скрин-шоты «Ashyq» с приложения AITU, справки о регистрации ТОО "Digital innovation and transformation» и ТОО «BTS DIGITAL», пользовательское соглашение, скрин-шот с сайта Национальной палаты «Атамекен». Заявитель: Боголова Залина Салмановна ...
ТолығырақГОРДАНОВ ВАДИМ
- Абдикаликов Р.К.
- 18.11.2021
- · Өтініш қабылданды·
- · Шағын және орта кәсіпкерлік ·
- 28
- № 715325
Добрый день, компания планирует открыть майнинговый дата-центр. Какие нужны разрешительные документы для осуществления данного вида деятельности? В Правилах информирования о деятельности по осуществлению цифрового майнинга прописано, что юридические лица, осуществляющие строительство центров обработки данных, для реализации цифрового майнинга информируют в течение 30 (тридцать) календарных дней о начале строительства в виде обращения на бумажном носителе либо в форме электронного документа в уполномоченный орган. На каком интернет-ресурсе мы можем подать это обращение? ...
ТолығырақГОРБУНОВА ЛЮБОВЬ
- Абдикаликов Р.К.
- 16.11.2021
- · Өтініш қабылданды·
- · Ақпараттық және коммуникациялық технологиялар ·
- 9
- № 714972
Здравствуйте, Руслан Кенжебекович! Я являюсь председателем ПКСК "Чайка". Вчера мной подавалось коллективное обращение на блог платформе Министра юстиции. Для входа на портал использовала ЭЦП ключ ПКСК. Но при этом на аватаре были обнаружены мной непонятные данные-ни ПКСК, ни мои как руководителя, а совершенно неизвестного лица - Мадзигон-Гевич Эвелина. Позже на мою электронную почту пришло уведомление об изменении статуса обращения, при этом ко мне обратились как к тому лицу, указанному мной выше. Между тем, когда я позже вновь зашла на портал, уже на аватаре было мое имя. Нахожусь в недоумении, вопросов больше чем ответов: кто такой человек, который был на аватаре? это что взлом ЭЦП ключей и их надо менять, так как этими ключи мы применяем везде в своей деятельности? От чьего имени в Министерство поступило обращение, и надо ли дублировать уже под своим именем, так как ответ предоставляется лицу, направившему обращение? Во вкладке к обращению представляю скрин рассылки с Портала "Открытый диалог" на электронную почту и фото, сделанное вчера, на котором на аватаре можно прочесть имя, указанное мной в обращении. Надеюсь на полное разъяснение ситуации! С уважением Горбунова Л.Н. ...
ТолығырақРахимбеков Сайран
- Абдикаликов Р.К.
- 18.10.2021
- · Өтініш қабылданды·
- · Білім ·
- 10
- № 710233
Здравствуйте! Можете, пожалуйста, отправить PDF-версию брошюры "Вопросы обеспечения кибербезопасности. Рекомендации", доступной на: https://www.gov.kz/memleket/entities/infsecurity/press/article/details/15830?lang=ru. Планирую использовать в личных образовательных целях, не нарушая авторские права. Спасибо. ...
ТолығырақЖакежанов Темирлан
- Абдикаликов Р.К.
- 26.09.2021
- · Өтініш қабылданды·
- · Құқық қорғау органдары ·
- 13
- № 707154
Добрый день, уважаемый Руслан Кенжебекович! Меня зовут Темирлан Жакежанов, являюсь оперуполномоченным отдела криминальной полиции Управления полиции района "Есиль" Департамента полиции города Нур-Султан. В настоящее время специализируюсь на пресечении и раскрытии преступлений в сфере информационных технологий. На протяжении двух месяцев неоднократно занимался рассылкой своих предложений, с помощью которых было бы возможно обезопасить наш народ Казахстана. Вкратце это минимизировать количество абонентских номеров используемых одним человек и прекращение беспорядочной торговли. Оптимизация работы платформ онлайн объявлений таких как Olx, Market, Kolesa и т.д. Усовершенствование работы следователей, прокуроров и судей, в части упрощения и ускорения их работы. Прошу Вас обратить своё внимание на сотрудников, которые первыми сталкиваются с проявлением преступности в интернете! Благодарю за внимание. к.тел: +77088577794(w/a) ...
ТолығырақИланов Базарбай
- Абдикаликов Р.К.
- 12.07.2021
- · Өтініш қабылданды·
- · Өңірлері ·
- 290
- № 695282
Здраствуйте. Обращались 09.06.2021г по поводу незаконно использование персональных данных но ответа не получили. ...
ТолығырақМельников Константин
- Абдикаликов Р.К.
- 28.06.2021
- · Өтініш қабылданды·
- · Ақпараттық және коммуникациялық технологиялар ·
- 282
- № 693016
Доброго дня. С 10 марта заблокирован ресурс https://yummyanime.club/ на территории Республики Казахстан. Найти причины блокировки, решение суда или ещё что-то отвечающие на мой вопрос не получилось. Представители ресурса так же не получали предупреждений и не могут получить ответ от вашего министерства о причинах блокировки. Прошу либо снять ограничения, либо сообщить о причинах и предоставить соответствующий документ. ...
Толығырақ
