.png)
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
НАКАЗ
м. Київ
| 16.09.2014 | N 462 |
|---|
Про внесення змiн до наказу Адмiнiстрацiї
Держспецзв'язку вiд 24 липня 2007 року N 143
| Зареєстровано в Мiнiстерствi юстицiї України 08 жовтня 2014 р. за N 1217/25994 |
Вiдповiдно до статтi 5 Закону
України "Про основнi засади державного
нагляду (контролю) у сферi господарської
дiяльностi", статтi 12 Закону України
"Про електронний цифровий пiдпис", пункту 2
постанови Кабiнету Мiнiстрiв України вiд 28 серпня
2013 року N 752 "Про затвердження методик
розроблення критерiїв, за якими оцiнюється
ступiнь ризику вiд провадження господарської
дiяльностi та визначається перiодичнiсть
проведення планових заходiв державного нагляду
(контролю), а також унiфiкованих форм актiв, що
складаються за результатами проведення планових
(позапланових) заходiв державного нагляду
(контролю)" наказую:
1. Унести до наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 24 липня 2007 року N 143 "Про затвердження Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi надання послуг електронного цифрового пiдпису", зареєстрованого в Мiнiстерствi юстицiї України 08 серпня 2007 року за N 914/14181, такi змiни:
1.1. Заголовок наказу викласти в такiй редакцiї:
"Про затвердження Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису".
1.2. У пунктi 1 слова "надання послуг" виключити.
2. Затвердити Змiни до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi надання послуг електронного цифрового пiдпису, затвердженого наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 24 липня 2007 року N 143, зареєстрованого в Мiнiстерствi юстицiї України 08 серпня 2007 року за N 914/14181 (iз змiнами), що додаються.
3. Директору Департаменту криптографiчного захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України у п'ятиденний строк пiсля пiдписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацiю до Мiнiстерства юстицiї України.
4. Цей наказ набирає чинностi з 01 сiчня 2015 року.
5. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спецiального зв'язку та захисту iнформацiї України Корнейка О. В.
| Голова Служби | В. П. Звєрєв |
| ПОГОДЖЕНО: | |
| В. о. Голови Антимонопольного комiтету України | М. Я. Бараш |
| Мiнiстр економiчного розвитку i торгiвлi України | П. Шеремета |
| Т. в. о. Голови Державної служби України з питань регуляторної полiтики та розвитку пiдприємництва | О. Ю. Потiмков |
| ЗАТВЕРДЖЕНО Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України 16 вересня 2014 року N 462 |
|
| Зареєстровано в Мiнiстерствi юстицiї України 08 жовтня 2014 р. за N 1217/25994 |
Змiни
до Положення про порядок здiйснення державного
контролю за додержанням вимог законодавства у
сферi надання послуг електронного цифрового
пiдпису
1. Заголовок Положення викласти в такiй редакцiї:
"Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису".
2. У главi 1:
у пунктi 1.1 слова та цифри "Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 24.06.2006 N 868" замiнити словами та цифрами "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi", Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411";
у пунктi 1.3 слова та цифри "пiдпункту 33 пункту 4 Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 24.06.2006 N 868" замiнити словами та цифрами "пiдпункту 20 пункту 4 Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411".
3. Абзац четвертий пункту 2.1 глави 2 пiсля слова "особами" доповнити словами "Державної служби спецiального зв'язку та захисту iнформацiї України".
4. У главi 3:
пункт 3.6 викласти в такiй редакцiї:
"3.6. Предметом перевiрки центрального засвiдчувального органу, засвiдчувальних центрiв та акредитованих центрiв є стан дотримання законодавства у сферi ЕЦП, у тому числi Закону України "Про електронний цифровий пiдпис", Порядку акредитацiї центру сертифiкацiї ключiв, затвердженого постановою Кабiнету Мiнiстрiв України вiд 13 липня 2004 року N 903, Положення про центральний засвiдчувальний орган, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1451, Порядку застосування електронного цифрового пiдпису органами державної влади, органами мiсцевого самоврядування, пiдприємствами, установами та органiзацiями державної форми власностi, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1452, Порядку обов'язкової передачi документованої iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1454, Порядку засвiдчення наявностi електронного документа (електронних даних) на певний момент часу, затвердженого постановою Кабiнету Мiнiстрiв України вiд 26 травня 2004 року N 680, Правил посиленої сертифiкацiї, затверджених наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13 сiчня 2005 року N 3, зареєстрованих у Мiнiстерствi юстицiї України 27 сiчня 2005 року за N 104/10384 (у редакцiї наказу Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 10 травня 2006 року N 50), iнших нормативно-правових актiв, а також регламентiв їх роботи.";
пункт 3.8 викласти в такiй редакцiї:
"3.8. Предметом перевiрки центрiв сертифiкацiї ключiв є стан дотримання положень Закону України "Про електронний цифровий пiдпис", iнших нормативно-правових актiв у сферах ЕЦП та захисту iнформацiї пiд час надання послуг ЕЦП";
пункт 3.9 пiсля слова "криптографiчного" доповнити словами "та технiчного".
5. Пункт 4.2 глави 4 викласти в такiй редакцiї:
"4.2. Перiодичнiсть проведення планових перевiрок акредитованих центрiв i центрiв сертифiкацiї ключiв, що є суб'єктами господарювання, визначається Критерiями, за якими оцiнюється ступiнь ризику вiд провадження господарської дiяльностi у сферi послуг електронного цифрового пiдпису i визначається перiодичнiсть проведення планових заходiв державного нагляду (контролю) Адмiнiстрацiєю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженими постановою Кабiнету Мiнiстрiв України вiд 13 серпня 2014 року N 329.
Плановi перевiрки центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру державного органу проводяться з перiодичнiстю один раз на рiк.
Плановi перевiрки державних установ проводяться з перiодичнiстю один раз на чотири роки.".
6. У главi 5:
в абзацi п'ятому пункту 5.5 слова "за рiшенням голови Комiсiї -" виключити;
в абзацi першому пункту 5.6 слова "несуть вiдповiдальнiсть" замiнити словом "вiдповiдають".
7. У главi 6:
абзац сьомий пункту 6.7 пiсля слова "голови" доповнити словами "та членiв";
пункт 6.11 викласти в такiй редакцiї:
"6.11. Перевiрка центрального засвiдчувального органу, засвiдчувального центру проводиться за Перелiком питань, якi пiдлягають перевiрцi в центральному засвiдчувальному органi та засвiдчувальному центрi (додаток 1).
Перевiрка акредитованого центру, центру сертифiкацiї ключiв проводиться за перелiком питань, якi наведенi в актi, складеному за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб'єктом господарювання вимог законодавства у сферi послуг електронного цифрового пiдпису, форма якого наведена у додатку 2 до цього Положення.
Перевiрка державних установ пiд час застосування ЕЦП проводиться за Перелiком питань, якi пiдлягають перевiрцi в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях державної форми власностi (додаток 3).".
8. Пункт 7.1 глави 7 викласти в такiй редакцiї:
"7.1. За результатами перевiрки акредитованого центру або центру сертифiкацiї ключiв, що є суб'єктом господарювання, голова та члени Комiсiї складають акт за формою, наведеною у додатку 2 до цього Положення.
За результатами перевiрки центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру державного органу, державних установ голова та члени Комiсiї складають акт у довiльнiй формi, який мiстить такi вiдомостi:
найменування контролюючого органу, а також посади, прiзвища, iнiцiали голови та членiв Комiсiї;
найменування суб'єкта перевiрки, а також прiзвище та iнiцiали керiвника суб'єкта перевiрки;
тип перевiрки (планова або позапланова);
дату та номер посвiдчення на перевiрку;
строк проведення заходу державного нагляду (контролю);
мiсцезнаходження суб'єкта перевiрки;
результати попередньої перевiрки;
причини невиконання встановлених вимог (якщо такi є);
назву та короткий змiст документiв, наданих пiд час перевiрки;
що було встановлено пiд час перевiрки, у тому числi висвiтлити показники, якi характеризують роботу суб'єкта перевiрки в цiлому;
виявленi пiд час перевiрки порушення i недолiки;
висновки за результатами перевiрки;
факти протидiї проведенню перевiрки (якщо такi були);
рекомендацiї щодо усунення виявлених порушень (за наявностi);
дату складання акта;
пiдписи голови та членiв Комiсiї;
пiдпис керiвника суб'єкта перевiрки або особи, що його замiнює, про ознайомлення з актом перевiрки.".
9. У главi 8:
пункт 8.1 пiсля слiв "здiйснення перевiрки" доповнити словами "центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру, центру сертифiкацiї ключiв";
пункт 8.4 пiсля слова "приписi" доповнити словами "(для державних установ щодо застосування ЕЦП - актi перевiрки)";
пункт 8.5 пiсля слова "приписi" доповнити словами "(для державних установ щодо застосування ЕЦП - актi перевiрки)";
у пунктi 8.6 слова "компрометацiї особистого ключа" замiнити словами "компрометацiї особистого ключа,".
10. Доповнити Положення новим пунктом такого змiсту:
"8.10. У разi виявлення порушень вимог, встановлених законодавством для центрального засвiдчувального органу, контролюючий орган пропонує центральному засвiдчувальному органу шляхи їх усунення.
У разi виявлення порушення вимог, встановлених законодавством для засвiдчувального центру, контролюючий орган повiдомляє центральний засвiдчувальний орган про застосування заходiв стосовно суб'єкта перевiрки.".
11. Вiдмiтку у верхньому правому кутi першого аркуша додатка 1 викласти в такiй редакцiї:
| "Додаток 1 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11)". |
12. Додаток 2 викласти в новiй редакцiї, що додається.
13. Доповнити Положення новим додатком 3, що додається.
| Заступник директора Департаменту криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку | Я. В. Головко |
| Додаток 2 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11) |
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
вул. Солом'янська, 13, м. Київ, 03680,
телефон (0-44) 281-92-10, телефакс (0-44) 281-94-83,
адреса електронної пошти: info@dsszzi.gov.ua
АКТ,
складений за результатами проведення планового
(позапланового) заходу державного нагляду
(контролю) щодо додержання суб'єктом
господарювання вимог законодавства у сферi
послуг електронного цифрового пiдпису
вiд рр.рр.рррр N ррррррррррр
 |
| (найменування юридичної особи (вiдокремленого пiдроздiлу) або прiзвище, |
| |
, |
| iм'я та по батьковi фiзичної особи - пiдприємця) |
| код згiдно з ЄДРПОУ, або реєстрацiйний номер облiкової картки платника податкiв рррррррррр або серiя та номер паспорта1 |
| |
| (мiсцезнаходження суб'єкта господарювання, номери телефону, |
| |
| телефаксу та адреса електронної пошти) |
____________
1 Для фiзичних осiб, якi
через свої релiгiйнi переконання вiдмовилися вiд
прийняття реєстрацiйного номера облiкової картки
платника податкiв, повiдомили про це вiдповiдний
орган доходiв i зборiв та мають вiдмiтку в паспортi.
Загальна iнформацiя про проведення заходу державного нагляду (контролю):
| Розпорядчий документ, на виконання
якого проводиться захiд державного нагляду (контролю), вiд рр.рр.рррр N рррр Посвiдчення (направлення) |
Тип заходу державного нагляду
(контролю): р плановий; р позаплановий |
Строк проведення заходу державного нагляду (контролю):
| Початок | Завершення | ||||||||
| рр | рр | рррр | рр | рр | рр | рр | рррр | рр | рр |
| число | мiсяць | рiк | години | хвилини | число | мiсяць | рiк | години | хвилини |
Особи, що беруть участь у проведеннi заходу державного нагляду (контролю):
| посадовi особи Державної служби спецiального зв'язку та захисту iнформацiї України: |
| |
| (найменування посад, прiзвища, iмена та по батьковi) |
| керiвник суб'єкта господарювання або уповноважена ним особа: |
| |
| (найменування посади, прiзвище, iм'я та по батьковi) |
| iншi особи: |
| |
| (найменування посад, прiзвища, iмена та по батьковi) |
Данi про останнiй проведений захiд державного нагляду (контролю):
| Плановий | Позаплановий |
| р не було | р не було |
| р був з рр.рр.рррр
по рр.рр.рррр Акт перевiрки N ррррррррррр Припис щодо усунення порушень: р не видавався; р видавався; його вимоги: р виконано; р не виконано |
р був з рр.рр.рррр
по рр.рр.рррр Акт перевiрки N ррррррррррр Припис щодо усунення порушень: р не видавався; р видавався; його вимоги: р виконано; р не виконано |
ПЕРЕЛIК
питань щодо проведення заходу державного
нагляду (контролю)
| N з/п | Питання щодо дотримання суб'єктом господарювання вимог законодавства | Вiдповiдi на питання | Нормативне обґрунтування 2 | |||
| так | нi | дотри- мання вимог законо- давства не є обов'яз- ковим для суб'єкта госпо- дарю- вання |
не розгля- далося |
|||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| Загальнi питання | ||||||
| 1 | Вимоги, якi мiстяться в наданих приписах, розпорядженнях або iнших розпорядчих документах щодо усунення порушень, виявлених попередньою перевiркою, виконано | Абзац п'ятий частини першої статтi 8 Закону N 877-V | ||||
| 2 | Свiдоцтво про акредитацiю центру сертифiкацiї ключiв, засвiдчувального центру: | X | X | X | X | Абзац перший статтi 9 Закону N 852-IV, пункт 8 Порядку N 903 |
| 2.1 | В наявностi | |||||
| 2.2 | Чинне | |||||
| 3 | Наявнiсть пiдстав для повторної акредитацiї | Пункти 11 та 13 Порядку N 903 | ||||
| 4 | Спецiальний рахунок для забезпечення вiдшкодування збиткiв, якi можуть бути завданi внаслiдок неналежного виконання центром сертифiкацiї ключiв своїх зобов'язань, наявний (не перевiряється в центрi сертифiкацiї ключiв, який надає послуги ЕЦП виключно органам державної влади) | Абзац перший пункту 5 Порядку N 903 | ||||
| Забезпечення безпеки iнформацiйних ресурсiв в центрi сертифiкацiї ключiв | ||||||
| 5 | Атестат вiдповiдностi на комплексну систему захисту iнформацiї (далi - КСЗI) в iнформацiйно-телекомунiкацiйнiй системi центру сертифiкацiї ключiв (далi - IТС): | X | X | X | X | Частина друга статтi 8 Закону N 80/94-ВР, пункт 35 Порядку N 903, пiдпункт 6.1.2 пункту 6.1 роздiлу 6 Правил N 3 |
| 5.1 6 | В наявностi | |||||
| 5.2 | Чинний | |||||
| 6 | Експлуатацiя IТС здiйснюється вiдповiдно до вимог: | X | X | X | X | |
| 6.1 | Технiчного завдання на створення КСЗI в IТС | Абзац другий пункту 20 Правил N 373 | ||||
| 6.2. | Експертного висновку, що додається до атестата КСЗI в IТС | Частина третя статтi 8, стаття 10 Закону N 80/94-ВР, пункт 8 додатка 8, додаток 9 до Положення N 93 | ||||
| 6.3 | Плану захисту iнформацiї в IТС | Пункт 19 Правил N 373 | ||||
| 7 | Службу захисту iнформацiї створено | Пункт 36 Порядку N 903 | ||||
| 8 | В акредитованому центрi сертифiкацiї ключiв є посади адмiнiстратора безпеки, адмiнiстратора сертифiкацiї, адмiнiстратора реєстрацiї, системного адмiнiстратора | Пункт 25 Порядку N 903, пiдпункт 6.2.3 пункту 6.2 роздiлу 6 Правил N 3 | ||||
| 9 | Обслуговуючий персонал центру сертифiкацiї ключiв має вiдповiднi знання, досвiд та навички, необхiднi для забезпечення надання послуг ЕЦП | Пункт 24 Порядку N 903, пiдпункт 6.2.1 пункту 6.2 роздiлу 6 Правил N 3 | ||||
| 10 | Фiзичний доступ до обладнання ПТК, що забезпечує сертифiкацiю, управлiння статусом сертифiката, генерацiю ключiв центру сертифiкацiї ключiв, надається тiльки визначеному керiвництвом центру сертифiкацiї ключiв колу осiб iз числа обслуговуючого персоналу | Абзаци шостий та сьомий пункту 20 Порядку N 903, пiдпункт 6.3.1 пункту 6.3 роздiлу 6 Правил N 3 | ||||
| Експлуатацiя засобiв криптографiчного захисту iнформацiї (далi - КЗI), надiйних засобiв електронного цифрового пiдпису (далi - ЕЦП) та програмно-технiчного комплексу (далi - ПТК) | ||||||
| 11 | Засоби КЗI (ЕЦП), ПТК мають сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї | Абзац восьмий пункту 20 Порядку N 903, абзац перший пункту 4.1 роздiлу 4 Положення N 141, пiдпункт 6.1.2 пункту 6.1 роздiлу 6 Правил N 3 | ||||
| 12 | Сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, виданий на засiб КЗI (ЕЦП) (що надається у користування пiдписувачам), пiдтверджує правильнiсть реалiзацiї: | X | X | X | X | Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453, |
| 12.1 | Формату пiдписаних даних | Пiдпункт 1.4 пункту 1 Наказу N 1236/5/453 | ||||
| 12.2 8 | Протоколу фiксування часу | Пiдпункт 1.5 пункту 1 Наказу N 1236/5/453 | ||||
| 12.3 | Протоколу визначення статусу сертифiката | Пiдпункт 1.6 пункту 1 Наказу N 1236/5/453 | ||||
| 12.4 | Формату криптографiчних повiдомлень | Пункт 2 Наказу N 739 | ||||
| 13 | Сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, виданий на ПТК, пiдтверджує правильнiсть реалiзацiї: | X | X | X | X | Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453 |
| 13.1 | Формату посиленого сертифiката вiдкритого ключа | Пiдпункт 1.1 пункту 1 Наказу N 1236/5/453 | ||||
| 13.2 | Формату списку вiдкликаних сертифiкатiв | Пiдпункт 1.3 пункту 1 Наказу N 1236/5/453 | ||||
| 13.3 | Протоколу фiксування часу | Пiдпункт 1.5 пункту 1 Наказу N 1236/5/453 | ||||
| 13.4 | Протоколу визначення статусу сертифiката | Пiдпункт 1.6 пункту 1 Наказу N 1236/5/453 | ||||
| 14 | Засоби КЗI (ЕЦП) введеннi в експлуатацiю наказом керiвника центру сертифiкацiї ключiв | Пункт 4.2 Положення N 141 | ||||
| 15 | Засоби КЗI (ЕЦП) взято на облiк | Абзац перший пункту 4.3 роздiлу 4 Положення N 141 | ||||
| 16 | Експлуатацiя ПТК, засобiв КЗI (ЕЦП) здiйснюється вiдповiдно до вимог: | X | X | X | X | Пункт 4.5 роздiлу 4 Положення N 141 |
| 16.1 1 | Експлуатацiйної документацiї | |||||
| 16.2 | Iнструкцiї iз забезпечення безпеки експлуатацiї | |||||
| 16.3 | Iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами | |||||
| 17 | Посадовi особи центру сертифiкацiї ключiв, що використовують засоби КЗI (ЕЦП): | X | X | X | X | Пункт 4.9 роздiлу 4 Положення N 141 |
| 17.1 | Ознайомленi з iнструкцiєю щодо порядку генерацiї ключових даних та поводження з ключовими документами в частинi, що їх стосується | |||||
| 17.2 | Дотримуються вимог iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами | |||||
| 18 | Передача засобiв КЗI (ЕЦП) пiдписувачам здiйснюється на пiдставi договорiв, у яких указуються порядок установлення та обслуговування цих засобiв, забезпечення ключовими документами (ключовими даними), а також ужиття заходiв щодо забезпечення режиму безпеки (перевiряється у разi надання такої послуги) | Пункт 4.4 роздiлу 4 Положення N 141 | ||||
| Управлiння ключами | ||||||
| 19 | Генерацiя особистого та вiдкритого ключiв центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | |
| 19.1 | У спецiальному примiщеннi | Пiдпункт 4.1.1 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 19.2 | За допомогою надiйних засобiв ЕЦП | Пiдпункт 4.1.2 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 19.3 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | Пiдпункт 4.1.1 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 20 | Резервування особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | Пiдпункт 4.2.3 пункту 4.2 роздiлу 4 Правил N 3 |
| 20.1 | У спецiальному примiщеннi | |||||
| 20.2 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | |||||
| 21 | Вiдновлення особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | Пiдпункт 4.2.3 пункту 4.2 роздiлу 4 Правил N 3 |
| 21.1 | У спецiальному примiщеннi | |||||
| 21.2 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | |||||
| 22 | Зберiгання та використання особистого ключа центру сертифiкацiї ключiв здiйснюються у спецiальному примiщеннi | Пiдпункт 4.2.3 пункту 4.2 та пiдпункт 4.3.2 пункту 4.3 роздiлу 4 Правил N 3 | ||||
| 23 | Зберiгання резервної копiї особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | |
| 23.1 | У захищеному виглядi | Пiдпункт 4.2.2 пункту 4.2 роздiлу 4 Правил N 3 | ||||
| 23.2 | У спецiальному примiщеннi або у сховищi, виготовленому в екранованому виконаннi, що вiдповiдає вимогам Правил iз забезпеченням захисту вiд несанкцiонованого доступу до нього | Пiдпункти 4.2.3, 4.2.4 пункту 4.2 роздiлу 4 Правил N 3, пункт 3 додатка до Правил N 3 | ||||
| 24 | Особистий ключ центру сертифiкацiї ключiв та всi його резервнi копiї пiсля закiнчення термiну їх дiї знищено способом, що не дозволяє їх вiдновлення | Пiдпункт 4.4.2 пункту 4.4 роздiлу 4 Правил N 3 | ||||
| 25 | Генерацiя ключiв пiдписувачiв здiйснюється: | X | X | X | X | |
| 25.1 | За допомогою надiйних засобiв ЕЦП | Пiдпункт 4.5.4 пункту 4.5 роздiлу 4 Правил N 3, абзац п'ятнадцятий Закону N 852-IV | ||||
| 25.2 | Iз забезпеченням конфiденцiйностi особистого ключа пiдписувача | Пiдпункти 4.5.1, 4.5.2 пункту 4.4 роздiлу 4 Правил N 3 | ||||
| Надання послуг ЕЦП | ||||||
| 26 | Встановлення юридичних осiб здiйснюється вiдповiдно до Регламенту роботи АЦСК за її установчими документами (положення, статут юридичної особи тощо) або копiями таких документiв, якi нотарiально посвiдченi вiдповiдно до вимог Закону України "Про нотарiат" | Пiдпункт 5.2.1 пункту 5.2 роздiлу 5 Правил N 3, пiдпункт "ґ" пункту 3.2 роздiлу 3 Правил N 3, Закон N 3425-XII | ||||
| 27 | Встановлення фiзичної особи здiйснюється за паспортом або iншими документами вiдповiдно до Регламенту роботи АЦСК | Пiдпункт 5.2.2 пункту 5.2 роздiлу 5 Правил N 3, пiдпункт "ґ" пункту 3.2 роздiлу 3 Правил N 3 | ||||
| 28 | Заявникiв iз умовами обслуговування (посилених) сертифiкатiв вiдкритих ключiв ознайомлено | Пiдпункт 5.2.6 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 29 | Договiр про надання послуг ЕЦП мiстить обов'язковi реквiзити | Пункт 32 Порядку N 903, пiдпункт 5.2.7 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 30 | Укладенi iз заявниками договори, а також документи (посвiдченi в установленому порядку копiї документiв), що використовуються пiд час реєстрацiї, на облiк взято | Пiдпункт 5.2.9 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 31 | Сертифiкати вiдкритих ключiв: | X | X | X | X | |
| 31.1 | Мiстять обов'язковi реквiзити | Стаття 6 Закону N 852-IV | ||||
| 31.2 | Вiдповiдають вимогам до посиленого сертифiката вiдкритого ключа | Пункт 2 Наказу N 1236/5/453 | ||||
| 32 | При повторному формуваннi сертифiката вiдкритого ключа здiйснюється перевiрка дiйсностi попередньої реєстрацiйної iнформацiї | Пiдпункт 5.3.1 пункту 5.3 роздiлу 5 Правил N 3 | ||||
| 33 | Скасування, блокування та поновлення сертифiкатiв вiдкритих ключiв здiйснюється: | X | X | X | X | |
| 33.1 | Iз встановленням особи заявника | Пiдпункт 5.7.2 пункту 5.7 роздiлу 5 Правил N 3 | ||||
| 33.2 | В термiн, встановлений регламентом роботи центру сертифiкацiї ключiв | Абзац п'ятий частини четвертої статтi 8 Закону N 852-IV, абзац сьомий пiдпункту "д" пункту 3.2 роздiлу 3 Правил N 3 |
||||
| 33.3 | З iнформуванням пiдписувачiв | Пiдпункт 5.7.3 пункту 5.7 роздiлу 5 Правил N 3 | ||||
| 34 | Приймання заяв про скасування, блокування та поновлення сертифiкатiв вiдкритих ключiв пiдписувачiв проводиться цiлодобово | Стаття 8 Закону N 852-IV, пункт 31 Порядку N 903 | ||||
| 35 | Доступ користувачiв до сертифiкатiв вiдкритих ключiв, спискiв вiдкликаних сертифiкатiв забезпечується цiлодобово | Стаття 8 Закону N 852-IV, пункт 30 Порядку N 903 | ||||
| 36 | Час у ПТК синхронiзований з Всесвiтнiм координованим часом з точнiстю до однiєї секунди | Пункт 4 Порядку N 680, пункт 5.8 роздiлу 5 Правил N 3 | ||||
| 37 | Забезпечено ведення протоколювання подiй, пов'язаних iз генерацiєю, використанням та знищенням особистого ключа акредитованого центру | Пiдпункт 4.1.3 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 38 | Забезпечено реєстрацiю таких подiй: | X | X | X | X | |
| 38.1 | Спроби створення, знищення, встановлення пароля, змiни прав доступу, системних привiлеїв тощо у програмно-технiчному комплексi центру сертифiкацiї ключiв | Абзац другий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.2 | Замiни ключiв | Абзац третiй пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.3 | Формування, переформування, блокування, скасування та поновлення сертифiкатiв вiдкритих ключiв, а також формування спискiв скасованих сертифiкатiв | Абзац четвертий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.4 | Спроби несанкцiонованого доступу до програмно-технiчного комплексу | Абзац п'ятий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.5 | Надання доступу до програмно-технiчного комплексу персоналу центру сертифiкацiї ключiв | Абзац шостий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.6 | Збої у роботi програмно-технiчного комплексу центру сертифiкацiї ключiв | Абзац сьомий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 39 | Забезпечено надання вiльного доступу користувачам до iнформацiї щодо умов, пов'язаних з використанням сертифiкатiв вiдкритих ключiв: | X | X | X | X | |
| 39.1 | Положень полiтики сертифiкацiї | Абзац другий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.2 | Обмежень при використаннi сертифiката | Абзац третiй пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.3 | Зобов'язань та пiдстав вiдповiдальностi пiдписувачiв стосовно використання сертифiката вiдкритого ключа, у тому числi щодо використання надiйних засобiв ЕЦП | Абзац четвертий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.4 | Iнформацiї щодо порядку перевiрки чинностi сертифiката вiдкритого ключа, у тому числi умов перевiрки статусу сертифiката | Абзац п'ятий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.5 | Строкiв зберiгання центром сертифiкацiї ключiв даних про пiдписувачiв, що були отриманi ним пiд час реєстрацiї | Абзац шостий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.6 | Порядку розв'язання спорiв | Абзац сьомий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.7 | Пiдстав вiдповiдальностi акредитованого центру сертифiкацiї ключiв | Абзац дев'ятий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 40 | Резервнi копiї сертифiкатiв та журналiв аудиту програмно-технiчного комплексу зберiгаються в примiщеннi, територiально вiдокремленому вiд примiщення акредитованого центру, iз забезпеченням їх захисту вiд несанкцiонованого доступу | Пункт 29 Порядку N 903, пiдпункт 6.4.6 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 41 | Забезпечено цiлодобове надання послуг фiксування часу | Пункт 10 Порядку N 680 | ||||
| 42 | Акредитований центр сертифiкацiї ключiв пiд час надання послуг фiксування часу: | X | X | X | X | |
| 42.1 | Забезпечує зберiгання даних про наданi послуги фiксування часу | Абзац другий пункту 9 Порядку N 680 | ||||
| 42.2 | Надає консультацiйно-методичну допомогу користувачам щодо порядку надання послуг | Абзац четвертий пункту 9 Порядку N 680 | ||||
| 43 | Регламент роботи акредитованого центру сертифiкацiї ключiв, що визначає порядок та процедури обслуговування сертифiкатiв пiдписувачiв, наявний та погоджений з Адмiнiстрацiєю Держспецзв'язку | Пункти 3.1, 3.3 роздiлу 3 Правил N 3, пункт 21 Порядку N 903 | ||||
____________
2 Застосовуються
позначення, наведенi у перелiку
нормативно-правових актiв та нормативних
документiв, вiдповiдно до яких складено перелiк
питань щодо проведення заходу державного
нагляду (контролю).
ОПИС
виявлених порушень
| N з/п | Найменування нормативно-правового акта або нормативного документа, вимоги якого порушено, iз зазначенням статтi (частини, пункту, абзацу тощо), висновок | Детальний опис виявленого порушення |
ПЕРЕЛIК
питань щодо здiйснення контролю за дiями
(бездiяльнiстю) посадових осiб Державної служби
спецiального зв'язку та захисту iнформацiї
України3
| N з/п | Питання щодо здiйснення контролю | Вiдповiдi на питання | Закон України "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi" | ||
| так | нi | дотримання вимог законодавства не є обов'язковим для посадових осiб | |||
| 1 | 2 | 3 | 4 | 5 | 6 |
| 1 | Про проведення планового заходу державного нагляду (контролю) пiдприємство письмово попереджено не менше нiж за 10 календарних днiв до його початку | Частина четверта статтi 5 | |||
| 2 | Посвiдчення (направлення) на проведення заходу державного нагляду (контролю) та службове посвiдчення, що засвiдчує посадову особу органу державного нагляду (контролю), пред'явлено | Частина п'ята статтi 7, абзац третiй статтi 10 | |||
| 3 | Копiю посвiдчення (направлення) на проведення заходу державного нагляду (контролю) надано | Частина п'ята статтi 7, абзаци третiй i шостий статтi 10 | |||
| 4 | Перед початком проведення заходу державного нагляду (контролю) посадовими особами органу державного нагляду (контролю) внесено запис про проведення такого заходу до вiдповiдного журналу суб'єкта господарювання (у разi його наявностi) | Частина дванадцята статтi 4 | |||
| 5 | Пiд час проведення позапланового заходу державного нагляду (контролю) розглядалися лише тi питання, якi стали пiдставою для його проведення i зазначенi у направленнi (посвiдченнi) на проведення такого заходу | Частина перша статтi 6 | |||
____________
3 Ця частина акта
заповнюється виключно керiвником суб'єкта
господарювання або уповноваженою ним особою.
Пояснення, зауваження або заперечення щодо проведеного заходу державного нагляду (контролю) та складеного акта перевiрки
| N з/п | Пояснення, зауваження або заперечення |
Посадовi особи органу державного нагляду (контролю):
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Керiвник суб'єкта господарювання або уповноважена ним особа:
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Iншi особи, якi брали участь у проведеннi заходу державного нагляду (контролю):
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Примiрник цього акта на рр сторiнках отримано рр.рр.рррр:
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
| Вiдмiтка про вiдмову вiд пiдписання керiвником суб'єкта господарювання або уповноваженою ним особою, iншими особами цього акта |
| |
| |
ПЕРЕЛIК
нормативно-правових актiв i нормативних
документiв, вiдповiдно до яких складено перелiк
питань щодо проведення заходу державного
нагляду (контролю)
| N з/п | Нормативно-правовий акт або нормативний документ | Дата i номер державної
реєстрацiї нормативно- правового акта у Мiн'юстi |
Позначення | |
| найменування | дата i номер | |||
| 1 | 2 | 3 | 4 | 5 |
| 1 | Закони України | |||
| 1.1 | Закон України "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах" | 05.07.94 N 80/94-ВР | Закон N 80/94-ВР | |
| 1.2 | Закон України "Про електронний цифровий пiдпис" | 22.05.2003 N 852-IV | Закон N 852-IV | |
| 1.3 | Закон України "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi" | 05.04.2007 N 877-V | Закон N 877-V | |
| 1.4 | Закон України "Про нотарiат" | 02.09.93 N 3425-XII | Закон N 3425-XII | |
| 2 | Постанови Кабiнету Мiнiстрiв України | |||
| 2.1 | Порядок засвiдчення наявностi електронного документа (електронних даних) на певний момент часу, затверджений постановою Кабiнету Мiнiстрiв України | 26.05.2004 N 680 | Порядок N 680 | |
| 2.2 | Порядок акредитацiї центру сертифiкацiї ключiв, затверджений постановою Кабiнету Мiнiстрiв України | 13.07.2004 N 903 | Порядок N 903 | |
| 2.3 | Правила забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, затвердженi постановою Кабiнету Мiнiстрiв України | 29.03.2006 N 373 | Правила N 373 | |
| 3 | Нормативно-правовi акти державних органiв | |||
| 3.1 | Правила посиленої сертифiкацiї, затвердженi наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України | 13.01.2005 N 3 | 27.01.2005 N 104/10384 | Правила N 3 |
| 3.2 | Положення про державну експертизу в сферi технiчного захисту iнформацiї, затверджене наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України | 16.05.2007 N 93 | 16.07.2007 N 820/14087 | Положення N 93 |
| 3.3 | Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї, затверджене наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України | 20.07.2007 N 141 | 30.07.2007 N 862/14129 | Положення N 141 |
| 3.4 | Наказ Мiнiстерства юстицiї України, Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України "Про затвердження вимог до форматiв, структури та протоколiв, що реалiзуються у надiйних засобах електронного цифрового пiдпису" | 20.08.2012 N 1236/5/453 | 20.08.2012 N 1398/21710 | Наказ N 1236/5/453 |
| 3.5 | Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України "Про затвердження Вимог до форматiв криптографiчних повiдомлень" | 18.12.2012 N 739 | 14.01.2013 N 108/22640 | Наказ N 739 |
| Додаток 3 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11) |
ПЕРЕЛIК
питань, якi пiдлягають перевiрцi в органах
державної влади, органах мiсцевого
самоврядування, на пiдприємствах, в установах та
органiзацiях державної форми власностi
1. Використання надiйного засобу електронного цифрового пiдпису в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях державної форми власностi (далi - установа).
2. Наявнiсть посилених сертифiкатiв вiдкритих ключiв i вiдповiднiсть змiсту сформованих сертифiкатiв установленим законодавством вимогам у працiвникiв - пiдписувачiв установи.
3. Порядок отримання послуг електронного цифрового пiдпису вiд акредитованих центрiв сертифiкацiї ключiв.
4. Порядок надання працiвникам установи права застосування електронного цифрового пiдпису, ведення облiку, зберiгання та знищення їх особистих ключiв, а також надання акредитованому центру сертифiкацiї ключiв iнформацiї, необхiдної для формування, скасування, блокування або поновлення посилених сертифiкатiв вiдкритих ключiв пiдписувачiв установи.
5. Наявнiсть вiдповiдального пiдроздiлу (особи), який (яка) забезпечує застосування електронного цифрового пiдпису в установi.
6. Наявнiсть положення про вiдповiдальний пiдроздiл, яким визначаються функцiї щодо забезпечення в установi застосування електронного цифрового пiдпису.
7. Ведення облiку засобiв електронного цифрового пiдпису, що використовуються в установi.
8. Надання вiдповiдальним пiдроздiлом допомоги пiдписувачам пiд час генерацiї їх особистих i вiдкритих ключiв.
9. Порядок зберiгання документiв, на пiдставi яких було сформовано посиленi сертифiкати вiдкритих ключiв.
10. Ведення облiку носiїв особистих ключiв пiдписувачiв.
11. Подання до акредитованого центру сертифiкацiї ключiв звернень про скасування, блокування або поновлення посилених сертифiкатiв вiдкритих ключiв пiдписувачiв.
12. Здiйснення контролю вiдповiдальним пiдроздiлом за використанням пiдписувачами засобiв електронного цифрового пiдпису та зберiганням ними особистих ключiв.
