.png)
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
НАКАЗ
| 24.07.2007 | N 143 |
|---|
Про затвердження Положення про порядок
здiйснення державного контролю за додержанням
вимог законодавства у сферi електронного
цифрового пiдпису
| (заголовок у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) | |
| Зареєстровано в Мiнiстерствi юстицiї України 8 серпня 2007 р. за N 914/14181 |
Iз змiнами i доповненнями, внесеними
наказами Адмiнiстрацiї Державної служби
спецiального зв'язку та захисту iнформацiї
України
вiд 2 березня 2012 року N 90,
вiд 16 вересня 2014 року N 462,
вiд 10 червня 2016 року N 381
Вiдповiдно до Законiв України "Про електронний цифровий пiдпис", "Про Державну службу спецiального зв'язку та захисту iнформацiї України", Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 24.06.2006 N 868, з метою здiйснення державного контролю за додержанням законодавства у сферi електронного цифрового пiдпису, наказую:
1. Затвердити Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису, що додається.
| (пункт 1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
2. Начальнику Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї забезпечити подання в установленому порядку цього наказу на державну реєстрацiю до Мiнiстерства юстицiї України.
3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спецiального зв'язку та захисту iнформацiї України.
| Т.в.о Голови Служби | О.I.Сиров |
| ЗАТВЕРДЖЕНО Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України 24.07.2007 N 143 |
|
| Зареєстровано в Мiнiстерствi юстицiї України 8 серпня 2007 р. за N 914/14181 |
ПОЛОЖЕННЯ
про порядок здiйснення державного контролю за
додержанням вимог законодавства у сферi
електронного цифрового пiдпису
| (заголовок Положення у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
1. Загальнi положення
1.1. Це Положення розроблене вiдповiдно до Законiв України "Про електронний цифровий пiдпис", "Про Державну службу спецiального зв'язку та захисту iнформацiї України", Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411, Порядку акредитацiї центру сертифiкацiї ключiв, затвердженого постановою Кабiнету Мiнiстрiв України вiд 13.07.2004 N 903, Положення про центральний засвiдчувальний орган, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28.10.2004 N 1451, Порядку застосування електронного цифрового пiдпису органами державної влади, органами мiсцевого самоврядування, пiдприємствами, установами та органiзацiями державної форми власностi, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28.10.2004 N 1452.
| (пункт 1.1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
1.2. Положення визначає порядок здiйснення державного контролю за додержанням вимог законодавства у сферi надання послуг електронного цифрового пiдпису (далi - ЕЦП), у тому числi проведення перевiрок суб'єктiв правових вiдносин у сферi послуг ЕЦП, визначених законом, а також оформлення i розгляд результатiв перевiрок.
1.3. Функцiї контролюючого органу у сферi надання послуг електронного цифрового пiдпису (далi - контролюючий орган) вiдповiдно до статтi 12 Закону України "Про електронний цифровий пiдпис", пiдпункту 20 пункту 4 Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411, здiйснює Адмiнiстрацiя Державної служби спецiального зв'язку та захисту iнформацiї України.
| (пункт 1.3 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
1.4. Дiя Положення поширюється на контролюючий орган, центральний засвiдчувальний орган, акредитованi центри сертифiкацiї ключiв (далi - акредитованi центри), центри сертифiкацiї ключiв, засвiдчувальнi центри органiв виконавчої влади або iнших державних органiв (далi - засвiдчувальнi центри), а також мiнiстерства, iншi центральнi органи виконавчої влади, органи мiсцевого самоврядування (далi - державнi установи).
2. Визначення термiнiв
2.1. Термiни, якi вживаються у Положеннi, мають таке значення:
безвиїзний нагляд - дiяльнiсть контролюючого органу, пов'язана зi збором iнформацiї вiд суб'єктiв правових вiдносин у сферi послуг ЕЦП з метою отримання вiдомостей про явища та процеси, що вiдбуваються у сферi послуг ЕЦП;
державний контроль за додержанням вимог законодавства у сферi надання послуг ЕЦП (далi - контроль у сферi ЕЦП) - це дiяльнiсть контролюючого органу в межах повноважень, передбачених законом, щодо виявлення та запобiгання порушенням вимог законодавства суб'єктами правових вiдносин у сферi послуг ЕЦП;
перевiрка - плановий або позаплановий захiд контролю у сферi ЕЦП, який проводиться посадовими особами Державної служби спецiального зв'язку та захисту iнформацiї України вiдповiдно до їх функцiональних повноважень за мiсцезнаходженням суб'єкта перевiрки та здiйснюється за комплексом питань або окремих питань, визначених у цьому Положеннi.
| (абзац четвертий пункту 2.1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
Iншi термiни вживаються у значеннях, визначених у Законах України "Про електронний цифровий пiдпис", "Про електроннi документи та електронний документообiг", постановi Кабiнету Мiнiстрiв України вiд 13.07.2004 N 903 "Про затвердження Порядку акредитацiї центру сертифiкацiї ключiв", наказi Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України (далi - ДСТСЗI СБ України) вiд 13.01.2005 N 3 "Про затвердження Правил посиленої сертифiкацiї", зареєстрованого в Мiн'юстi України 27.01.2005 за N 104/10384.
3. Контроль у сферi ЕЦП
3.1. Контроль у сферi ЕЦП реалiзується контролюючим органом шляхом погодження нормативно-правових актiв у випадках, передбачених законодавством та Положенням, перевiрок суб'єктiв правових вiдносин у сферi послуг ЕЦП, визначених законом, а також вжиття заходiв у разi невиконання або неналежного виконання ними обов'язкiв, встановлених законодавством.
3.2. Основними завданнями контролю у сферi ЕЦП є:
встановлення вiдповiдностi вимогам законодавства органiзацiї та порядку надання послуг ЕЦП суб'єктами правових вiдносин у сферi послуг ЕЦП;
забезпечення дотримання вимог законодавства центральним засвiдчувальним органом, засвiдчувальними центрами щодо акредитацiї центрiв сертифiкацiї ключiв;
своєчасне попередження, виявлення та припинення дiй або бездiяльностi, якi мiстять ознаки порушення законодавства у сферi надання послуг ЕЦП, усунення причин виникнення цих порушень i умов, що їм сприяють, а в разi, якщо порушення припинено, - вжиття заходiв для усунення наслiдкiв цих порушень;
оцiнка дiяльностi суб'єктiв правових вiдносин у сферi послуг електронного цифрового пiдпису щодо дотримання законодавства;
забезпечення вiдповiдностi законодавству порядку застосування ЕЦП державними установами.
3.3. Безвиїзний нагляд проводиться шляхом аналiзу:
стану роботи електронних iнформацiйних ресурсiв, якi використовуються для надання послуг ЕЦП;
iнформацiйних матерiалiв, електронних документiв тощо, розмiщених на електронних iнформацiйних ресурсах, якi використовуються для надання послуг ЕЦП щодо їх вiдповiдностi вимогам законодавства;
вiдповiдностi вимогам законодавства змiсту сертифiкатiв ключiв, що формуються суб'єктами надання послуг ЕЦП;
перелiку та порядку надання послуг ЕЦП через електроннi iнформацiйнi ресурси;
щорiчних звiтiв, що надаються акредитованими центрами та центрами сертифiкацiї ключiв вiдповiдно до пункту 3.4 Положення;
iншої iнформацiї щодо функцiонування, органiзацiї та надання послуг суб'єктами правових вiдносин у сферi послуг ЕЦП.
3.4. До 15 сiчня кожного року акредитований центр та центр сертифiкацiї ключiв надає до контролюючого органу вiдомостi за попереднiй рiк роботи щодо надання послуг ЕЦП, зокрема про:
кiлькiсть укладених договорiв про надання послуг ЕЦП (окремо з фiзичними та юридичними особами);
кiлькiсть сформованих та скасованих сертифiкатiв ключiв за звiтний перiод iз зазначенням причин скасування;
факти вiдшкодування збиткiв пiдписувачам, користувачам або третiм особам внаслiдок неналежного виконання акредитованим центром та центром сертифiкацiї ключiв своїх зобов'язань (за наявнiстю);
факти участi як позивача, вiдповiдача або третьої сторони у судових справах з питань, пов'язаних з наданням послуг ЕЦП, предмет розгляду та прийняте рiшення (за наявнiстю);
факти порушень акредитованим центром та центром сертифiкацiї ключiв вимог законодавства iз захисту iнформацiї пiд час надання послуг ЕЦП, їх причини та заходи щодо усунення порушень;
iншi питання за окремими запитами контролюючого органу.
3.5. Контролюючим органом органiзовуються та проводяться плановi та позаплановi перевiрки суб'єктiв правових вiдносин у сферi послуг ЕЦП, визначених законом.
3.6. Предметом перевiрки центрального засвiдчувального органу, засвiдчувальних центрiв та акредитованих центрiв є стан дотримання законодавства у сферi ЕЦП, у тому числi Закону України "Про електронний цифровий пiдпис", Порядку акредитацiї центру сертифiкацiї ключiв, затвердженого постановою Кабiнету Мiнiстрiв України вiд 13 липня 2004 року N 903, Положення про центральний засвiдчувальний орган, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1451, Порядку застосування електронного цифрового пiдпису органами державної влади, органами мiсцевого самоврядування, пiдприємствами, установами та органiзацiями державної форми власностi, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1452, Порядку обов'язкової передачi документованої iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28 жовтня 2004 року N 1454, Порядку засвiдчення наявностi електронного документа (електронних даних) на певний момент часу, затвердженого постановою Кабiнету Мiнiстрiв України вiд 26 травня 2004 року N 680, Правил посиленої сертифiкацiї, затверджених наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13 сiчня 2005 року N 3, зареєстрованих у Мiнiстерствi юстицiї України 27 сiчня 2005 року за N 104/10384 (у редакцiї наказу Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 10 травня 2006 року N 50), iнших нормативно-правових актiв, а також регламентiв їх роботи.
| (пункт 3.6 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
3.7. Пiд час перевiрки акредитованого центру можуть перевiрятися його вiдокремленi пункти реєстрацiї.
3.8. Предметом перевiрки центрiв сертифiкацiї ключiв є стан дотримання положень Закону України "Про електронний цифровий пiдпис", iнших нормативно-правових актiв у сферах ЕЦП та захисту iнформацiї пiд час надання послуг ЕЦП.
| (пункт 3.8 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
3.9. Контроль за дiяльнiстю державних установ щодо дотримання вимог законодавства у сферi ЕЦП здiйснюється шляхом погодження проектiв нормативно-правових актiв, що визначають порядок застосування ЕЦП державною установою. Перевiрки державних установ стосовно дотримання вимог законодавства iз захисту державних iнформацiйних ресурсiв або iнформацiї, вимога щодо захисту якої встановлена законом, у тому числi пiд час застосування ЕЦП, здiйснюються Державною службою спецiального зв'язку та захисту iнформацiї України (далi - Держспецзв'язку) в рамках державного контролю за станом криптографiчного та технiчного захисту iнформацiї.
| (пункт 3.9 iз змiнами, внесеними згiдно з наказами Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 02.03.2012р. N 90, вiд 16.09.2014р. N 462) |
3.10. У разi виявлення фактiв (ознак) порушення вимог законодавства у сферi ЕЦП контролюючий орган має право звернутися до державної установи щодо припинення дiй або усунення порушень законодавства та вимагати звiту про здiйснення заходiв iз усунення порушень.
4. Органiзацiя проведення перевiрок
4.1. Плановi перевiрки центрального засвiдчувального органу, у тому числi державного пiдприємства, установи та органiзацiї, що здiйснює технiчне та технологiчне забезпечення виконання функцiй центрального засвiдчувального органу вiдповiдно до пункту 7 Положення про центральний засвiдчувальний орган, затвердженого постановою Кабiнету Мiнiстрiв України вiд 28.10.2004 N 1451, а також iнших суб'єктiв у сферi послуг ЕЦП, встановлених законом, проводяться вiдповiдно до плану перевiрок суб'єктiв у сферi послуг ЕЦП, затвердженого Адмiнiстрацiєю Держспецзв'язку (далi - План Адмiнiстрацiї Держспецзв'язку), та у разi внесення акредитованих центрiв i центрiв сертифiкацiї ключiв, що є суб'єктами господарювання, - до планiв проведення заходiв державного нагляду (контролю) iнших державних органiв вiдповiдно до плану комплексних планових заходiв державного нагляду (контролю) органiв державного нагляду (контролю), затвердженого Мiнекономрозвитку (далi - комплексний план), що складаються на кожний рiк.
Для складання комплексного плану Адмiнiстрацiя Держспецзв'язку подає Мiнекономрозвитку вiдомостi про заходи державного нагляду (контролю) до 15 вересня року, що передує плановому перiоду, вiдповiдно до Порядку складення та затвердження плану комплексних планових заходiв державного нагляду (контролю) органiв державного нагляду (контролю), затвердженого постановою Кабiнету Мiнiстрiв України вiд 04 листопада 2015 року N 902.
План Адмiнiстрацiї Держспецзв'язку складається з урахуванням комплексного плану та затверджується Адмiнiстрацiєю Держспецзв'язку до 01 грудня року, що передує плановому перiоду. Копiя Плану Адмiнiстрацiї Держспецзв'язку надсилається до центрального засвiдчувального органу протягом 10 робочих днiв з дня його затвердження.
| (пункт 4.1 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 10.06.2016р. N 381) |
4.2. Перiодичнiсть проведення планових перевiрок акредитованих центрiв i центрiв сертифiкацiї ключiв, що є суб'єктами господарювання, визначається Критерiями, за якими оцiнюється ступiнь ризику вiд провадження господарської дiяльностi у сферi послуг електронного цифрового пiдпису i визначається перiодичнiсть проведення планових заходiв державного нагляду (контролю) Адмiнiстрацiєю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженими постановою Кабiнету Мiнiстрiв України вiд 13 серпня 2014 року N 329.
Плановi перевiрки центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру державного органу проводяться з перiодичнiстю один раз на рiк.
Плановi перевiрки державних установ проводяться з перiодичнiстю один раз на чотири роки.
| (пункт 4.2 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
4.3. Щороку до 01 квiтня контролюючий орган готує звiт про виконання рiчного Плану Адмiнiстрацiї Держспецзв'язку за попереднiй рiк i оприлюднює його в мережi Iнтернет.
| (пункт 4.3 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 10.06.2016р. N 381) |
4.4. Позапланова перевiрка суб'єктiв у сферi послуг ЕЦП здiйснюється за рiшенням контролюючого органу за наявностi таких пiдстав:
подання суб'єктом у сферi послуг ЕЦП письмової заяви до контролюючого органу про здiйснення перевiрки за його бажанням;
виявлення та пiдтвердження недостовiрностi даних, заявлених у щорiчних звiтах, що надаються акредитованими центрами та центрами сертифiкацiї ключiв вiдповiдно до пункту 3.4 Положення (для акредитованих центрiв та центрiв сертифiкацiї ключiв);
перевiрка виконання суб'єктом у сферi послуг електронного цифрового пiдпису приписiв щодо усунення порушень вимог законодавства, виданих за результатами проведення планової перевiрки;
подання пропозицiй центральним засвiдчувальним органом контролюючому органу за результатами розгляду заяв i скарг щодо неналежного функцiонування акредитованих центрiв або центрiв сертифiкацiї ключiв (для акредитованих центрiв та центрiв сертифiкацiї ключiв);
письмового повiдомлення центральним засвiдчувальним органом про обставини, якi перешкоджають його дiяльностi (для центрального засвiдчувального органу);
письмового звернення пiдписувачiв та користувачiв щодо неналежного виконання суб'єктами у сферi послуг ЕЦП функцiй, визначених законодавством;
неподання у встановлений термiн акредитованими центрами та центрами сертифiкацiї ключiв щорiчних звiтiв вiдповiдно до пункту 3.4 Положення без поважних причин, а також письмових пояснень про причини, якi перешкоджали поданню таких звiтiв (для акредитованих центрiв та центрiв сертифiкацiї ключiв);
звернення суду.
4.5. Пiд час проведення позапланової перевiрки з'ясовуються лише тi питання, необхiднiсть перевiрки яких стала пiдставою для здiйснення цього заходу, з обов'язковим зазначенням цих питань у посвiдченнi на проведення перевiрки.
4.6. Суб'єкт перевiрки повинен ознайомитися з пiдставою проведення позапланової перевiрки з наданням йому копiї вiдповiдного документа.
4.7. Строк здiйснення позапланової перевiрки не може перевищувати десяти робочих днiв. Продовження строку здiйснення позапланової перевiрки не допускається.
4.8. Про проведення планової перевiрки контролюючий орган письмово повiдомляє вiдповiдного суб'єкта не пiзнiше нiж за 10 днiв до початку цiєї перевiрки.
Повiдомлення повинно мiстити:
дату початку та дату закiнчення здiйснення перевiрки;
найменування суб'єкта перевiрки;
найменування контролюючого органу.
Повiдомлення надсилається рекомендованим листом чи телефонограмою або вручається особисто керiвнику чи уповноваженiй особi суб'єкта перевiрки пiд розписку.
4.9. Суб'єкт перевiрки має право не допускати посадових осiб контролюючого органу до здiйснення планової перевiрки в разi неодержання повiдомлення про здiйснення перевiрки.
4.10. Для проведення перевiрки контролюючий орган видає наказ, який має мiстити найменування суб'єкта перевiрки, предмет перевiрки та склад комiсiї з перевiрки (далi - Комiсiя).
4.11. До складу Комiсiї можуть залучатися в установленому порядку представники центрального засвiдчувального органу.
4.12. На пiдставi наказу оформляється посвiдчення на проведення перевiрки, яке пiдписується Головою Держспецзв'язку або його заступником i засвiдчується печаткою.
У посвiдченнi на проведення перевiрки зазначаються:
найменування контролюючого органу;
найменування суб'єкта перевiрки;
мiсцезнаходження суб'єкта перевiрки;
номер i дата наказу, на виконання якого здiйснюється перевiрка;
склад Комiсiї iз зазначенням посад, прiзвищ, iмен та по батьковi її членiв;
дата початку та дата закiнчення перевiрки;
тип перевiрки (планова або позапланова);
пiдстави перевiрки;
перелiк питань, що пiдлягають перевiрцi;
iнформацiя про здiйснення попередньої перевiрки (тип перевiрки i строк її проведення).
Посвiдчення є чинним лише протягом зазначеного в ньому строку здiйснення перевiрки.
4.13. Строк здiйснення планової перевiрки не може перевищувати п'ятнадцяти робочих днiв. Продовження строку здiйснення перевiрки не допускається.
5. Права та обов'язки Комiсiї
5.1. Голова Комiсiї зобов'язаний:
забезпечити координацiю роботи мiж членами Комiсiї при пiдготовцi та проведеннi перевiрки;
органiзувати роботу Комiсiї, у тому числi визначити конкретнi термiни, види, обсяги робiт, що потрiбнi для проведення перевiрки;
здiйснити розподiл питань, за якими проводиться перевiрка, мiж членами Комiсiї, встановити порядок i режим їх роботи;
контролювати виконання доручених ним завдань.
5.2. Голова Комiсiї має право:
встановлювати для членiв Комiсiї додатковi завдання з перевiрки та здiйснювати перерозподiл їх обов'язкiв;
здiйснювати особисто перевiрку будь-якої дiяльностi суб'єкта перевiрки у сферi надання послуг ЕЦП;
запитувати та отримувати вiд пiдписувачiв, яким надаються послуги ЕЦП суб'єктом перевiрки, за їх згодою, вiдомостi, що потрiбнi для встановлення фактичних обставин, якi призвели (можуть призвести) до порушень встановлених вимог стосовно надання послуг ЕЦП;
давати вказiвки щодо оформлення акта перевiрки та припису;
давати iншi вказiвки щодо проведення перевiрки.
5.3. Члени Комiсiї беруть участь у роботi Комiсiї та виконують поставленi перед ними завдання. Член Комiсiї має право одноособово, керуючись конкретним завданням голови Комiсiї, дослiджувати окремi питання перевiрки.
5.4. Члени Комiсiї зобов'язанi:
повно, об'єктивно та неупереджено здiйснювати перевiрку;
керуватися та дотримуватися вимог законодавства та нормативно-правових актiв з питань надання послуг ЕЦП i захисту iнформацiї;
сумлiнно, вчасно та якiсно виконувати свої службовi обов'язки та доручення голови Комiсiї;
дотримуватися дiлової етики у взаємовiдносинах iз суб'єктами перевiрки;
ознайомити керiвника суб'єкта перевiрки або його заступника, або уповноважену ним особу з результатами перевiрки;
надавати суб'єкту перевiрки консультацiйну допомогу щодо здiйснення перевiрки;
не розголошувати iнформацiю з обмеженим доступом, яка стала їм вiдома в зв'язку з виконанням службових обов'язкiв.
5.5. Члени Комiсiї при виконаннi своїх службових обов'язкiв пiд час проведення перевiрки мають право:
вiльного доступу встановленим порядком до всiх документiв та iнформацiї суб'єкта перевiрки щодо надання ним послуг ЕЦП i акредитацiї, у тому числi iнформацiї з обмеженим доступом;
вiльного доступу у робочий час на територiю та до всiх примiщень суб'єкта перевiрки, у тому числi спецiальних, якi використовуються для забезпечення функцiонування технiчних засобiв та зберiгання документiв з питань надання послуг ЕЦП;
вивчати роботу технiчних засобiв, якi використовуються суб'єктом перевiрки для надання послуг у сферi ЕЦП, у тому числi автоматизованих систем та програмно-технiчного комплексу;
одержувати вiд посадових осiб iнформацiю та пояснення (у тому числi письмовi) щодо їх дiяльностi з питань надання послуг ЕЦП (акредитацiї), необхiднi для здiйснення перевiрки;
| (абзац п'ятий пункту 5.5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
отримувати вiд суб'єкта перевiрки та долучати до матерiалiв перевiрки копiї документiв, у тому числi виготовленi методом сканування або створення фотокопiй, що можуть свiдчити про факти порушення суб'єктом перевiрки законодавства у сферi надання послуг ЕЦП;
пред'являти до керiвникiв i працiвникiв суб'єкта перевiрки iншi вимоги, що пов'язанi з їх обов'язками, передбаченими Положенням.
5.6. Голова та члени Комiсiї несуть вiдповiдальнiсть згiдно з законодавством за:
необ'єктивне вiдображення у актi перевiрки даних щодо дiяльностi суб'єкта перевiрки;
приховування фактiв порушень чи зловживань, виявлених пiд час перевiрки;
iншi дiї, вчиненi в процесi перевiрки, якi порушують законодавство.
6. Порядок проведення перевiрки
6.1. Перевiрка складається з таких етапiв:
пiдготовка до проведення перевiрки;
процес перевiрки;
оформлення результатiв перевiрки.
6.2. Пiдготовка до проведення перевiрки здiйснюється шляхом:
опрацювання матерiалiв попередньої перевiрки з метою подальшого контролю за тими напрямами роботи, за якими ранiше були виявленi порушення;
аналiзу матерiалiв безвиїзного нагляду;
вивчення регламенту роботи суб'єкта перевiрки.
6.3. Контролюючий орган має право письмово запитувати у суб'єктiв у сферi послуг ЕЦП матерiали та iнформацiю, необхiднi для проведення перевiрки. Суб'єкти у сферi послуг ЕЦП зобов'язанi надати контролюючому органу всю потрiбну iнформацiю протягом п'ятнадцяти робочих днiв пiсля отримання вiдповiдного запиту.
6.4. У перiод пiдготовки до проведення перевiрки голова Комiсiї iнформує її членiв про завдання (рекомендацiї, вказiвки) перевiрки, а також проводить iнструктаж щодо порядку взаємодiї з працiвниками суб'єкта перевiрки.
6.5. Перед початком здiйснення перевiрки члени Комiсiї зобов'язанi пред'явити керiвнику суб'єкта перевiрки або уповноваженiй ним особi посвiдчення та службовi посвiдчення, що засвiдчують посадових осiб контролюючого органу, i надати суб'єкту перевiрки копiю посвiдчення на проведення перевiрки.
6.6. Посадовi особи контролюючого органу без посвiдчення на здiйснення перевiрки та службових посвiдчень не мають права здiйснювати перевiрку.
6.7. Керiвники суб'єкта перевiрки зобов'язанi створити необхiднi умови для проведення перевiрки, а саме:
забезпечити на перiод проведення перевiрки кожному члену Комiсiї безперешкодний вхiд до/вихiд iз усiх примiщень суб'єкта перевiрки протягом усього робочого дня за умови дотримання порядку здiйснення перевiрки, передбаченого законодавством;
надати членам Комiсiї у день початку перевiрки службове примiщення, яке обладнане потрiбними меблями, комп'ютером та сховищем для документiв. На весь перiод перевiрки вхiд до зазначеного примiщення особам, що не є членами Комiсiї, якi здiйснюють перевiрку, без дозволу голови Комiсiї забороняється. Якщо немає можливостi видiлити Комiсiї iзольоване вiд працiвникiв суб'єкта перевiрки службове примiщення, то, за згодою її голови, керiвники суб'єкта перевiрки повиннi надати членам Комiсiї окреме робоче мiсце, обладнане таким чином, щоб забезпечити належнi умови для роботи Комiсiї;
органiзувати зустрiч членiв Комiсiї з керiвниками вiдповiдних служб, що пiдлягають перевiрцi;
забезпечити членам Комiсiї вiльний доступ до всiх документiв та iнформацiї про дiяльнiсть суб'єкта перевiрки з питань надання послуг ЕЦП;
забезпечити надання в установленi членами Комiсiї термiни документiв та iнформацiї про дiяльнiсть суб'єкта перевiрки, пояснень (письмово й усно);
на вимогу голови та членiв Комiсiї забезпечити надання копiй документiв, їх реєстрацiю встановленим порядком;
| (абзац сьомий пункту 6.7 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
засвiдчувати наданi пояснення щодо отриманої iнформацiї, документiв;
забезпечувати коректну поведiнку своїх пiдлеглих пiд час проведення перевiрки.
6.8. Керiвники суб'єкта перевiрки мають право:
вимагати вiд посадових осiб контролюючого органу додержання вимог законодавства;
перевiряти наявнiсть у посадових осiб контролюючого органу службових посвiдчень i одержувати копiї посвiдчення на проведення планової або позапланової перевiрки;
не допускати посадових осiб контролюючого органу до здiйснення перевiрки, якщо:
- перевiрка здiйснюється з порушенням вимог щодо перiодичностi проведення перевiрок, передбачених законом;
- посадова особа контролюючого органу не надала копiї документiв, передбачених Положенням, або якщо наданi документи не вiдповiдають вимогам Положення;
бути присутнiм пiд час здiйснення перевiрки;
вимагати нерозголошення iнформацiї, що є комерцiйною таємницею суб'єкта перевiрки;
одержувати та ознайомлюватися з актами за результатами перевiрки;
надавати в письмовiй формi свої пояснення, зауваження або заперечення до акта перевiрки;
отримувати вiд голови Комiсiї роз'яснення щодо дiй Комiсiї, пов'язаних з перевiркою;
у разi неузгодження з дiями голови та/або членiв Комiсiї подавати в письмовому виглядi скарги до керiвництва контролюючого органу чи оскаржувати дiї Комiсiї в судовому порядку.
6.9. Перед початком перевiрки голова Комiсiї вносить запис до вiдповiдного журналу суб'єкта перевiрки (за його наявностi).
6.10. Перевiрка здiйснюється у присутностi керiвника суб'єкта перевiрки або його заступника, або вповноваженої особи суб'єкта перевiрки.
6.11. Перевiрка центрального засвiдчувального органу, засвiдчувального центру проводиться за Перелiком питань, якi пiдлягають перевiрцi в центральному засвiдчувальному органi та засвiдчувальному центрi (додаток 1).
Перевiрка акредитованого центру, центру сертифiкацiї ключiв проводиться за перелiком питань, якi наведенi в актi, складеному за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб'єктом господарювання вимог законодавства у сферi послуг електронного цифрового пiдпису, форма якого наведена у додатку 2 до цього Положення.
Перевiрка державних установ пiд час застосування ЕЦП проводиться за Перелiком питань, якi пiдлягають перевiрцi в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях державної форми власностi (додаток 3).
| (пункт 6.11 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
6.12. Перевiрка проводитися шляхом вивчення документiв, iнформацiї, що мiститься в базах даних, спiвбесiд з працiвниками суб'єкта перевiрки, аналiзу стану виконання вимог нормативно-правових актiв та внутрiшнiх розпорядчих документiв з питань надання послуг ЕЦП.
6.13. Перевiрки органiзовуються таким чином, щоб не порушувати режим роботи суб'єкта перевiрки.
6.14. У мiру виявлення порушень законодавства, зловживань i недолiкiв керiвництву суб'єкта перевiрки, не чекаючи закiнчення перевiрки, слiд уживати заходiв щодо усунення виявлених порушень, зловживань i недолiкiв, запобiгання їм надалi.
7. Порядок оформлення результатiв перевiрки
7.1. За результатами перевiрки акредитованого центру або центру сертифiкацiї ключiв, що є суб'єктом господарювання, голова та члени Комiсiї складають акт за формою, наведеною у додатку 2 до цього Положення.
За результатами перевiрки центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру державного органу, державних установ голова та члени Комiсiї складають акт у довiльнiй формi, який мiстить такi вiдомостi:
найменування контролюючого органу, а також посади, прiзвища, iнiцiали голови та членiв Комiсiї;
найменування суб'єкта перевiрки, а також прiзвище та iнiцiали керiвника суб'єкта перевiрки;
тип перевiрки (планова або позапланова);
дату та номер посвiдчення на перевiрку;
строк проведення заходу державного нагляду (контролю);
мiсцезнаходження суб'єкта перевiрки;
результати попередньої перевiрки;
причини невиконання встановлених вимог (якщо такi є);
назву та короткий змiст документiв, наданих пiд час перевiрки;
що було встановлено пiд час перевiрки, у тому числi висвiтлити показники, якi характеризують роботу суб'єкта перевiрки в цiлому;
виявленi пiд час перевiрки порушення i недолiки;
висновки за результатами перевiрки;
факти протидiї проведенню перевiрки (якщо такi були);
рекомендацiї щодо усунення виявлених порушень (за наявностi);
дату складання акта;
пiдписи голови та членiв Комiсiї;
пiдпис керiвника суб'єкта перевiрки або особи, що його замiнює, про ознайомлення з актом перевiрки.
| (пункт 7.1 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
7.2. Факти порушень, недолiкiв, що виявленi пiд час перевiрки, для унеможливлення неправильного тлумачення викладаються в актi перевiрки об'єктивно, детально i зрозумiло. Порушення, викладенi в актi перевiрки, повиннi мати посилання на конкретнi пункти, статтi, роздiли нормативно-правових актiв, що порушенi. Довiльне трактування нормативно-правових актiв не допускається.
Довiдкову або однорiдну iнформацiю про порушення i недолiки, яка може бути згрупована, допускається викладати в додатках до акта перевiрки. Якщо до акта перевiрки додаються копiї документiв, то в ньому вiдображають цей факт iз зазначенням їх найменувань i реквiзитiв.
7.3. Акт перевiрки складається у двох примiрниках та пiдписується не пiзнiше останнього дня перевiрки всiма членами Комiсiї та керiвником суб'єкта перевiрки або особою, що його замiнює.
7.4. Член Комiсiї, який не погоджується з висновками Комiсiї, зазначеними в актi перевiрки, зобов'язаний пiдписати його та письмово викласти свою окрему думку, що долучається до акта перевiрки. При цьому перед пiдписом акта перевiрки робиться запис "З окремою думкою, що додається".
7.5. Якщо керiвник суб'єкта перевiрки має зауваження щодо фактiв та висновкiв, викладених в актi перевiрки, то перед пiдписом робить запис "Iз зауваженнями, що додаються". Зауваження оформлюються окремим документом та засвiдчуються пiдписом керiвника суб'єкта перевiрки. Зауваження керiвника суб'єкта перевiрки та окрема думка члена Комiсiї є невiд'ємною частиною акта перевiрки.
7.6. Якщо керiвник суб'єкта перевiрки вiдмовився вiд ознайомлення з актом перевiрки або вiд його пiдписання пiсля ознайомлення з ним, голова Комiсiї перед мiсцем для пiдпису керiвника суб'єкта перевiрки робить вiдповiдну вiдмiтку, яка завiряється пiдписами голови та одного з членiв Комiсiї.
7.7. Один примiрник акта перевiрки залишається в контролюючому органi, другий - у строк не бiльше п'яти робочих днiв пiсля завершення перевiрки вручається представнику суб'єкта перевiрки або надсилається рекомендованим листом з пiдтвердженням поштового вiдправлення. У разi перевiрки акредитованого центру, копiя акта протягом п'яти робочих днiв пiсля завершення перевiрки направляється до центрального засвiдчувального органу.
8. Порядок розгляду результатiв перевiрки
8.1. На пiдставi акта, який складено за результатами здiйснення перевiрки центрального засвiдчувального органу, засвiдчувального центру, акредитованого центру, центру сертифiкацiї ключiв, у ходi якої виявлено порушення вимог законодавства, протягом п'яти робочих днiв з дня завершення перевiрки складається припис про усунення порушень, виявлених пiд час перевiрки. Припис видається та пiдписується членами Комiсiї, якi здiйснювали перевiрку.
| (пункт 8.1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
8.2. Припис щодо усунення порушень складається у двох примiрниках: один примiрник не пiзнiше п'яти робочих днiв з дня складання акта надається суб'єкту перевiрки чи вповноваженiй ним особi для виконання, а другий примiрник з пiдписом суб'єкта перевiрки або вповноваженої ним особи щодо погоджених термiнiв усунення порушень вимог законодавства залишається в контролюючому органi.
8.3. У разi вiдмови суб'єкта перевiрки або вповноваженої ним особи вiд отримання припису щодо усунення порушень вимог законодавства вiн направляється рекомендованим листом, а на копiї припису, який залишається в контролюючому органi, проставляються вiдповiдний вихiдний номер i дата направлення.
8.4. Керiвник суб'єкта перевiрки повинен ужити заходiв щодо усунення недолiкiв та порушень, зазначених у приписi (для державних установ щодо застосування ЕЦП - актi перевiрки), протягом визначеного термiну.
| (пункт 8.4 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
8.5. Суб'єкт перевiрки зобов'язаний у встановлений в приписi (для державних установ щодо застосування ЕЦП - актi перевiрки) термiн письмово подати контролюючому органу iнформацiю про усунення порушень разом з документами, що це пiдтверджують.
| (пункт 8.5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
8.6. У разi встановлення за результатами проведеної перевiрки акредитованого центру та центру сертифiкацiї ключiв фактiв (ознак) компрометацiї особистого ключа, порушення вимог законодавства у сферi послуг ЕЦП, не усунених за встановлений у приписi термiн, недостовiрних даних, зазначених у сертифiкатi ключа, контролюючим органом розглядаються наданi матерiали та вiдповiдно до статтi 12 Закону України "Про електронний цифровий пiдпис" вирiшуються питання щодо видання розпорядження центральному засвiдчувальному органу про застосування заходiв стосовно суб'єкта перевiрки (далi - розпорядження центральному засвiдчувальному органу) вiдповiдно до закону.
| (пункт 8.6 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
8.7. Розпорядження центральному засвiдчувальному органу може мiстити вимогу про скасування сертифiката ключа акредитованого центра або центра сертифiкацiї ключiв.
8.8. Розпорядження центральному засвiдчувальному органу обов'язково повинно мiстити:
дату складання;
найменування контролюючого органу, а також посади, прiзвища, iм'я та по-батьковi членiв Комiсiї, якi здiйснили перевiрку;
найменування та мiсцезнаходження суб'єкта перевiрки, а також прiзвище, iм'я та по батьковi його керiвника чи вповноваженої ним особи, щодо дiяльностi якого здiйснювалася перевiрка;
обставини, за яких виявленi порушення (тип, термiн перевiрки, номер та дата акта перевiрки або посилання на iнше джерело iнформацiї);
обґрунтованi пiдстави видання розпорядження центральному засвiдчувальному органу;
вимогу щодо застосування заходiв стосовно суб'єкта перевiрки.
8.9. На пiдставi розпорядження центральному засвiдчувальному органу вiн уживає заходiв стосовно суб'єкта перевiрки, що передбаченi законом.
8.10. У разi виявлення порушень вимог, встановлених законодавством для центрального засвiдчувального органу, контролюючий орган пропонує центральному засвiдчувальному органу шляхи їх усунення.
У разi виявлення порушення вимог, встановлених законодавством для засвiдчувального центру, контролюючий орган повiдомляє центральний засвiдчувальний орган про застосування заходiв стосовно суб'єкта перевiрки.
| (главу 8 доповнено пунктом 8.10 згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) | |
| Начальник Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку |
В.П.Грєбнєв |
| Додаток 1 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11). |
ПЕРЕЛIК
питань, якi пiдлягають перевiрцi в центральному
засвiдчувальному органi та засвiдчувальному
центрi
1. Органiзацiйнi питання
1.1. Вiдповiднiсть спецiального примiщення встановленим вимогам, органiзацiя охорони спецiального примiщення та порядок доступу у спецiальне примiщення.
1.2. Наявнiсть чинного експертного висновку на програмно-технiчний комплекс, виданого за результатами державної експертизи у сферi криптографiчного захисту iнформацiї.
1.3. Наявнiсть атестата вiдповiдностi комплексної системи захисту iнформацiї вимогам нормативних документiв з питань захисту iнформацiї, вiдповiднiсть складу програмних та технiчних засобiв, зазначених в експертному висновку до атестата вiдповiдностi комплексної системи захисту iнформацiї.
1.4. Наявнiсть погодженого з контролюючим органом регламенту роботи.
1.5. Наявнiсть штатних або найманих за договором спецiалiстiв, призначених на посади адмiнiстратора безпеки, адмiнiстратора сертифiкацiї, адмiнiстратора реєстрацiї, системного адмiнiстратора, наявнiсть положення, яким визначаються посадовi обов'язки, квалiфiкацiйнi вимоги та вiдповiдальнiсть посадових осiб, дiяльнiсть яких безпосередньо пов'язана з наданням послуг ЕЦП та обслуговуванням сертифiкатiв ключiв. Знання посадових обов'язкiв особами, дiяльнiсть яких безпосередньо пов'язана з наданням послуг ЕЦП та обслуговуванням сертифiкатiв ключiв.
1.6. Наявнiсть нормативних документiв, що визначають порядок забезпечення безпеки експлуатацiї програмно-технiчного комплексу, порядок генерацiї ключових даних та поводження з ключовими документами. Наявнiсть служби захисту iнформацiї, а також положення про службу захисту iнформацiї.
1.7. Узяття на облiк програмно-технiчного комплексу та iнших засобiв криптографiчного захисту iнформацiї, що використовуються.
1.8. Порядок зберiгання резервних копiй сертифiкатiв та спискiв вiдкликаних сертифiкатiв.
1.9. Дотримання вимог iз захисту iнформацiї, яка обробляється в автоматизованих системах центрального засвiдчувального органу (засвiдчувального центру).
2. Технiчнi та технологiчнi питання
2.1. Ведення журналiв аудиту щодо подiй, пов'язаних з генерацiєю, використанням та знищенням особистого ключа.
2.2. Розмiщення, зберiгання, доступ та використання особистого ключа.
2.3. Розмiщення, зберiгання та доступ до резервної копiї особистого ключа.
2.4. Порядок реєстрацiї (формування сертифiката ключа) центру сертифiкацiї ключiв. Вiдповiднiсть порядку реєстрацiї полiтицi сертифiкацiї та регламенту роботи.
2.5. Зберiгання сформованих сертифiкатiв ключiв, а також сертифiкатiв та документованої iнформацiї, яка пiдлягає обов'язковiй передачi центрами сертифiкацiї ключiв у разi припинення їх дiяльностi.
2.6. Вiдповiднiсть змiсту сформованих сертифiкатiв установленим законодавством вимогам.
2.7. Розмiщення на електронному iнформацiйному ресурсi документiв та iнформацiї, установлених полiтикою сертифiкацiї.
2.8. Ведення журналiв аудиту щодо подiй, пов'язаних з формуванням, скасуванням, блокуванням та поновленням сертифiкатiв ключiв.
2.9. Функцiонування електронного iнформацiйного ресурсу щодо надання доступу до основних даних (реквiзитiв) акредитованих центрiв, центрiв сертифiкацiї ключiв, перелiку сертифiкатiв центрiв сертифiкацiї ключiв, а також iнформацiї про статус сертифiкатiв.
2.10. Ведення журналiв аудиту програмно-технiчного комплексу.
3. Питання, пов'язанi з акредитацiєю центрiв сертифiкацiї ключiв
3.1. Вiдомостi, що подають центри сертифiкацiї ключiв для акредитацiї.
3.2. Програми, методики та результати (протоколи) дослiджень щодо вiдповiдностi центру сертифiкацiї ключiв установленим вимогам для акредитованого центру сертифiкацiї ключiв.
3.3. Ведення Реєстру суб'єктiв, якi надають послуги, пов'язанi з електронним цифровим пiдписом.
3.4. Результати розгляду заяв та скарг щодо неналежного функцiонування центрiв сертифiкацiї ключiв.
| (додаток 1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) | |
| Начальник Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку |
В.П.Грєбнєв |
| Додаток 2 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11) |
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
вул. Солом'янська, 13, м. Київ, 03680,
телефон (0-44) 281-92-10, телефакс (0-44) 281-94-83,
адреса електронної пошти: info@dsszzi.gov.ua
АКТ,
складений за результатами проведення планового
(позапланового) заходу державного нагляду
(контролю) щодо додержання суб'єктом
господарювання вимог законодавства у сферi
послуг електронного цифрового пiдпису
вiд рр.рр.рррр N ррррррррррр
 |
| (найменування юридичної особи (вiдокремленого пiдроздiлу) або прiзвище, |
| |
, |
| iм'я та по батьковi фiзичної особи - пiдприємця) |
| код згiдно з ЄДРПОУ, або реєстрацiйний номер облiкової картки платника податкiв рррррррррр або серiя та номер паспорта1 |
| |
| (мiсцезнаходження суб'єкта господарювання, номери телефону, |
| |
| телефаксу та адреса електронної пошти) |
____________
1 Для фiзичних осiб, якi
через свої релiгiйнi переконання вiдмовилися вiд
прийняття реєстрацiйного номера облiкової картки
платника податкiв, повiдомили про це вiдповiдний
орган доходiв i зборiв та мають вiдмiтку в паспортi.
Загальна iнформацiя про проведення заходу державного нагляду (контролю):
| Розпорядчий документ, на виконання
якого проводиться захiд державного нагляду (контролю), вiд рр.рр.рррр N рррр Посвiдчення (направлення) |
Тип заходу державного нагляду
(контролю): р плановий; р позаплановий |
Строк проведення заходу державного нагляду (контролю):
| Початок | Завершення | ||||||||
| рр | рр | рррр | рр | рр | рр | рр | рррр | рр | рр |
| число | мiсяць | рiк | години | хвилини | число | мiсяць | рiк | години | хвилини |
Особи, що беруть участь у проведеннi заходу державного нагляду (контролю):
| посадовi особи Державної служби спецiального зв'язку та захисту iнформацiї України: |
| |
| (найменування посад, прiзвища, iмена та по батьковi) |
| керiвник суб'єкта господарювання або уповноважена ним особа: |
| |
| (найменування посади, прiзвище, iм'я та по батьковi) |
| iншi особи: |
| |
| (найменування посад, прiзвища, iмена та по батьковi) |
Данi про останнiй проведений захiд державного нагляду (контролю):
| Плановий | Позаплановий |
| р не було | р не було |
| р був з рр.рр.рррр
по рр.рр.рррр Акт перевiрки N ррррррррррр Припис щодо усунення порушень: р не видавався; р видавався; його вимоги: р виконано; р не виконано |
р був з рр.рр.рррр
по рр.рр.рррр Акт перевiрки N ррррррррррр Припис щодо усунення порушень: р не видавався; р видавався; його вимоги: р виконано; р не виконано |
ПЕРЕЛIК
питань щодо проведення заходу державного
нагляду (контролю)
| N з/п | Питання щодо дотримання суб'єктом господарювання вимог законодавства | Вiдповiдi на питання | Нормативне обґрунтування 2 | |||
| так | нi | дотри- мання вимог законо- давства не є обов'яз- ковим для суб'єкта госпо- дарю- вання |
не розгля- далося |
|||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| Загальнi питання | ||||||
| 1 | Вимоги, якi мiстяться в наданих приписах, розпорядженнях або iнших розпорядчих документах щодо усунення порушень, виявлених попередньою перевiркою, виконано | Абзац п'ятий частини першої статтi 8 Закону N 877-V | ||||
| 2 | Свiдоцтво про акредитацiю центру сертифiкацiї ключiв, засвiдчувального центру: | X | X | X | X | Абзац перший статтi 9 Закону N 852-IV, пункт 8 Порядку N 903 |
| 2.1 | В наявностi | |||||
| 2.2 | Чинне | |||||
| 3 | Наявнiсть пiдстав для повторної акредитацiї | Пункти 11 та 13 Порядку N 903 | ||||
| 4 | Спецiальний рахунок для забезпечення вiдшкодування збиткiв, якi можуть бути завданi внаслiдок неналежного виконання центром сертифiкацiї ключiв своїх зобов'язань, наявний (не перевiряється в центрi сертифiкацiї ключiв, який надає послуги ЕЦП виключно органам державної влади) | Абзац перший пункту 5 Порядку N 903 | ||||
| Забезпечення безпеки iнформацiйних ресурсiв в центрi сертифiкацiї ключiв | ||||||
| 5 | Атестат вiдповiдностi на комплексну систему захисту iнформацiї (далi - КСЗI) в iнформацiйно-телекомунiкацiйнiй системi центру сертифiкацiї ключiв (далi - IТС): | X | X | X | X | Частина друга статтi 8 Закону N 80/94-ВР, пункт 35 Порядку N 903, пiдпункт 6.1.2 пункту 6.1 роздiлу 6 Правил N 3 |
| 5.1 6 | В наявностi | |||||
| 5.2 | Чинний | |||||
| 6 | Експлуатацiя IТС здiйснюється вiдповiдно до вимог: | X | X | X | X | |
| 6.1 | Технiчного завдання на створення КСЗI в IТС | Абзац другий пункту 20 Правил N 373 | ||||
| 6.2. | Експертного висновку, що додається до атестата КСЗI в IТС | Частина третя статтi 8, стаття 10 Закону N 80/94-ВР, пункт 8 додатка 8, додаток 9 до Положення N 93 | ||||
| 6.3 | Плану захисту iнформацiї в IТС | Пункт 19 Правил N 373 | ||||
| 7 | Службу захисту iнформацiї створено | Пункт 36 Порядку N 903 | ||||
| 8 | В акредитованому центрi сертифiкацiї ключiв є посади адмiнiстратора безпеки, адмiнiстратора сертифiкацiї, адмiнiстратора реєстрацiї, системного адмiнiстратора | Пункт 25 Порядку N 903, пiдпункт 6.2.3 пункту 6.2 роздiлу 6 Правил N 3 | ||||
| 9 | Обслуговуючий персонал центру сертифiкацiї ключiв має вiдповiднi знання, досвiд та навички, необхiднi для забезпечення надання послуг ЕЦП | Пункт 24 Порядку N 903, пiдпункт 6.2.1 пункту 6.2 роздiлу 6 Правил N 3 | ||||
| 10 | Фiзичний доступ до обладнання ПТК, що забезпечує сертифiкацiю, управлiння статусом сертифiката, генерацiю ключiв центру сертифiкацiї ключiв, надається тiльки визначеному керiвництвом центру сертифiкацiї ключiв колу осiб iз числа обслуговуючого персоналу | Абзаци шостий та сьомий пункту 20 Порядку N 903, пiдпункт 6.3.1 пункту 6.3 роздiлу 6 Правил N 3 | ||||
| Експлуатацiя засобiв криптографiчного захисту iнформацiї (далi - КЗI), надiйних засобiв електронного цифрового пiдпису (далi - ЕЦП) та програмно-технiчного комплексу (далi - ПТК) | ||||||
| 11 | Засоби КЗI (ЕЦП), ПТК мають сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї | Абзац восьмий пункту 20 Порядку N 903, абзац перший пункту 4.1 роздiлу 4 Положення N 141, пiдпункт 6.1.2 пункту 6.1 роздiлу 6 Правил N 3 | ||||
| 12 | Сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, виданий на засiб КЗI (ЕЦП) (що надається у користування пiдписувачам), пiдтверджує правильнiсть реалiзацiї: | X | X | X | X | Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453, |
| 12.1 | Формату пiдписаних даних | Пiдпункт 1.4 пункту 1 Наказу N 1236/5/453 | ||||
| 12.2 8 | Протоколу фiксування часу | Пiдпункт 1.5 пункту 1 Наказу N 1236/5/453 | ||||
| 12.3 | Протоколу визначення статусу сертифiката | Пiдпункт 1.6 пункту 1 Наказу N 1236/5/453 | ||||
| 12.4 | Формату криптографiчних повiдомлень | Пункт 2 Наказу N 739 | ||||
| 13 | Сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, виданий на ПТК, пiдтверджує правильнiсть реалiзацiї: | X | X | X | X | Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453 |
| 13.1 | Формату посиленого сертифiката вiдкритого ключа | Пiдпункт 1.1 пункту 1 Наказу N 1236/5/453 | ||||
| 13.2 | Формату списку вiдкликаних сертифiкатiв | Пiдпункт 1.3 пункту 1 Наказу N 1236/5/453 | ||||
| 13.3 | Протоколу фiксування часу | Пiдпункт 1.5 пункту 1 Наказу N 1236/5/453 | ||||
| 13.4 | Протоколу визначення статусу сертифiката | Пiдпункт 1.6 пункту 1 Наказу N 1236/5/453 | ||||
| 14 | Засоби КЗI (ЕЦП) введеннi в експлуатацiю наказом керiвника центру сертифiкацiї ключiв | Пункт 4.2 Положення N 141 | ||||
| 15 | Засоби КЗI (ЕЦП) взято на облiк | Абзац перший пункту 4.3 роздiлу 4 Положення N 141 | ||||
| 16 | Експлуатацiя ПТК, засобiв КЗI (ЕЦП) здiйснюється вiдповiдно до вимог: | X | X | X | X | Пункт 4.5 роздiлу 4 Положення N 141 |
| 16.1 1 | Експлуатацiйної документацiї | |||||
| 16.2 | Iнструкцiї iз забезпечення безпеки експлуатацiї | |||||
| 16.3 | Iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами | |||||
| 17 | Посадовi особи центру сертифiкацiї ключiв, що використовують засоби КЗI (ЕЦП): | X | X | X | X | Пункт 4.9 роздiлу 4 Положення N 141 |
| 17.1 | Ознайомленi з iнструкцiєю щодо порядку генерацiї ключових даних та поводження з ключовими документами в частинi, що їх стосується | |||||
| 17.2 | Дотримуються вимог iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами | |||||
| 18 | Передача засобiв КЗI (ЕЦП) пiдписувачам здiйснюється на пiдставi договорiв, у яких указуються порядок установлення та обслуговування цих засобiв, забезпечення ключовими документами (ключовими даними), а також ужиття заходiв щодо забезпечення режиму безпеки (перевiряється у разi надання такої послуги) | Пункт 4.4 роздiлу 4 Положення N 141 | ||||
| Управлiння ключами | ||||||
| 19 | Генерацiя особистого та вiдкритого ключiв центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | |
| 19.1 | У спецiальному примiщеннi | Пiдпункт 4.1.1 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 19.2 | За допомогою надiйних засобiв ЕЦП | Пiдпункт 4.1.2 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 19.3 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | Пiдпункт 4.1.1 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 20 | Резервування особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | Пiдпункт 4.2.3 пункту 4.2 роздiлу 4 Правил N 3 |
| 20.1 | У спецiальному примiщеннi | |||||
| 20.2 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | |||||
| 21 | Вiдновлення особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | Пiдпункт 4.2.3 пункту 4.2 роздiлу 4 Правил N 3 |
| 21.1 | У спецiальному примiщеннi | |||||
| 21.2 | За участю або пiд контролем не менше двох визначених осiб iз обслуговуючого персоналу | |||||
| 22 | Зберiгання та використання особистого ключа центру сертифiкацiї ключiв здiйснюються у спецiальному примiщеннi | Пiдпункт 4.2.3 пункту 4.2 та пiдпункт 4.3.2 пункту 4.3 роздiлу 4 Правил N 3 | ||||
| 23 | Зберiгання резервної копiї особистого ключа центру сертифiкацiї ключiв здiйснюється: | X | X | X | X | |
| 23.1 | У захищеному виглядi | Пiдпункт 4.2.2 пункту 4.2 роздiлу 4 Правил N 3 | ||||
| 23.2 | У спецiальному примiщеннi або у сховищi, виготовленому в екранованому виконаннi, що вiдповiдає вимогам Правил iз забезпеченням захисту вiд несанкцiонованого доступу до нього | Пiдпункти 4.2.3, 4.2.4 пункту 4.2 роздiлу 4 Правил N 3, пункт 3 додатка до Правил N 3 | ||||
| 24 | Особистий ключ центру сертифiкацiї ключiв та всi його резервнi копiї пiсля закiнчення термiну їх дiї знищено способом, що не дозволяє їх вiдновлення | Пiдпункт 4.4.2 пункту 4.4 роздiлу 4 Правил N 3 | ||||
| 25 | Генерацiя ключiв пiдписувачiв здiйснюється: | X | X | X | X | |
| 25.1 | За допомогою надiйних засобiв ЕЦП | Пiдпункт 4.5.4 пункту 4.5 роздiлу 4 Правил N 3, абзац п'ятнадцятий Закону N 852-IV | ||||
| 25.2 | Iз забезпеченням конфiденцiйностi особистого ключа пiдписувача | Пiдпункти 4.5.1, 4.5.2 пункту 4.4 роздiлу 4 Правил N 3 | ||||
| Надання послуг ЕЦП | ||||||
| 26 | Встановлення юридичних осiб здiйснюється вiдповiдно до Регламенту роботи АЦСК за її установчими документами (положення, статут юридичної особи тощо) або копiями таких документiв, якi нотарiально посвiдченi вiдповiдно до вимог Закону України "Про нотарiат" | Пiдпункт 5.2.1 пункту 5.2 роздiлу 5 Правил N 3, пiдпункт "ґ" пункту 3.2 роздiлу 3 Правил N 3, Закон N 3425-XII | ||||
| 27 | Встановлення фiзичної особи здiйснюється за паспортом або iншими документами вiдповiдно до Регламенту роботи АЦСК | Пiдпункт 5.2.2 пункту 5.2 роздiлу 5 Правил N 3, пiдпункт "ґ" пункту 3.2 роздiлу 3 Правил N 3 | ||||
| 28 | Заявникiв iз умовами обслуговування (посилених) сертифiкатiв вiдкритих ключiв ознайомлено | Пiдпункт 5.2.6 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 29 | Договiр про надання послуг ЕЦП мiстить обов'язковi реквiзити | Пункт 32 Порядку N 903, пiдпункт 5.2.7 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 30 | Укладенi iз заявниками договори, а також документи (посвiдченi в установленому порядку копiї документiв), що використовуються пiд час реєстрацiї, на облiк взято | Пiдпункт 5.2.9 пункту 5.2 роздiлу 5 Правил N 3 | ||||
| 31 | Сертифiкати вiдкритих ключiв: | X | X | X | X | |
| 31.1 | Мiстять обов'язковi реквiзити | Стаття 6 Закону N 852-IV | ||||
| 31.2 | Вiдповiдають вимогам до посиленого сертифiката вiдкритого ключа | Пункт 2 Наказу N 1236/5/453 | ||||
| 32 | При повторному формуваннi сертифiката вiдкритого ключа здiйснюється перевiрка дiйсностi попередньої реєстрацiйної iнформацiї | Пiдпункт 5.3.1 пункту 5.3 роздiлу 5 Правил N 3 | ||||
| 33 | Скасування, блокування та поновлення сертифiкатiв вiдкритих ключiв здiйснюється: | X | X | X | X | |
| 33.1 | Iз встановленням особи заявника | Пiдпункт 5.7.2 пункту 5.7 роздiлу 5 Правил N 3 | ||||
| 33.2 | В термiн, встановлений регламентом роботи центру сертифiкацiї ключiв | Абзац п'ятий частини четвертої статтi 8 Закону N 852-IV, абзац сьомий пiдпункту "д" пункту 3.2 роздiлу 3 Правил N 3 |
||||
| 33.3 | З iнформуванням пiдписувачiв | Пiдпункт 5.7.3 пункту 5.7 роздiлу 5 Правил N 3 | ||||
| 34 | Приймання заяв про скасування, блокування та поновлення сертифiкатiв вiдкритих ключiв пiдписувачiв проводиться цiлодобово | Стаття 8 Закону N 852-IV, пункт 31 Порядку N 903 | ||||
| 35 | Доступ користувачiв до сертифiкатiв вiдкритих ключiв, спискiв вiдкликаних сертифiкатiв забезпечується цiлодобово | Стаття 8 Закону N 852-IV, пункт 30 Порядку N 903 | ||||
| 36 | Час у ПТК синхронiзований з Всесвiтнiм координованим часом з точнiстю до однiєї секунди | Пункт 4 Порядку N 680, пункт 5.8 роздiлу 5 Правил N 3 | ||||
| 37 | Забезпечено ведення протоколювання подiй, пов'язаних iз генерацiєю, використанням та знищенням особистого ключа акредитованого центру | Пiдпункт 4.1.3 пункту 4.1 роздiлу 4 Правил N 3 | ||||
| 38 | Забезпечено реєстрацiю таких подiй: | X | X | X | X | |
| 38.1 | Спроби створення, знищення, встановлення пароля, змiни прав доступу, системних привiлеїв тощо у програмно-технiчному комплексi центру сертифiкацiї ключiв | Абзац другий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.2 | Замiни ключiв | Абзац третiй пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.3 | Формування, переформування, блокування, скасування та поновлення сертифiкатiв вiдкритих ключiв, а також формування спискiв скасованих сертифiкатiв | Абзац четвертий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.4 | Спроби несанкцiонованого доступу до програмно-технiчного комплексу | Абзац п'ятий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.5 | Надання доступу до програмно-технiчного комплексу персоналу центру сертифiкацiї ключiв | Абзац шостий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 38.6 | Збої у роботi програмно-технiчного комплексу центру сертифiкацiї ключiв | Абзац сьомий пiдпункту 6.4.8 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 39 | Забезпечено надання вiльного доступу користувачам до iнформацiї щодо умов, пов'язаних з використанням сертифiкатiв вiдкритих ключiв: | X | X | X | X | |
| 39.1 | Положень полiтики сертифiкацiї | Абзац другий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.2 | Обмежень при використаннi сертифiката | Абзац третiй пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.3 | Зобов'язань та пiдстав вiдповiдальностi пiдписувачiв стосовно використання сертифiката вiдкритого ключа, у тому числi щодо використання надiйних засобiв ЕЦП | Абзац четвертий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.4 | Iнформацiї щодо порядку перевiрки чинностi сертифiката вiдкритого ключа, у тому числi умов перевiрки статусу сертифiката | Абзац п'ятий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.5 | Строкiв зберiгання центром сертифiкацiї ключiв даних про пiдписувачiв, що були отриманi ним пiд час реєстрацiї | Абзац шостий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.6 | Порядку розв'язання спорiв | Абзац сьомий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 39.7 | Пiдстав вiдповiдальностi акредитованого центру сертифiкацiї ключiв | Абзац дев'ятий пiдпункту 5.5.1 пункту 5.5 роздiлу 5 Правил N 3 | ||||
| 40 | Резервнi копiї сертифiкатiв та журналiв аудиту програмно-технiчного комплексу зберiгаються в примiщеннi, територiально вiдокремленому вiд примiщення акредитованого центру, iз забезпеченням їх захисту вiд несанкцiонованого доступу | Пункт 29 Порядку N 903, пiдпункт 6.4.6 пункту 6.4 роздiлу 6 Правил N 3 | ||||
| 41 | Забезпечено цiлодобове надання послуг фiксування часу | Пункт 10 Порядку N 680 | ||||
| 42 | Акредитований центр сертифiкацiї ключiв пiд час надання послуг фiксування часу: | X | X | X | X | |
| 42.1 | Забезпечує зберiгання даних про наданi послуги фiксування часу | Абзац другий пункту 9 Порядку N 680 | ||||
| 42.2 | Надає консультацiйно-методичну допомогу користувачам щодо порядку надання послуг | Абзац четвертий пункту 9 Порядку N 680 | ||||
| 43 | Регламент роботи акредитованого центру сертифiкацiї ключiв, що визначає порядок та процедури обслуговування сертифiкатiв пiдписувачiв, наявний та погоджений з Адмiнiстрацiєю Держспецзв'язку | Пункти 3.1, 3.3 роздiлу 3 Правил N 3, пункт 21 Порядку N 903 | ||||
____________
2 Застосовуються
позначення, наведенi у перелiку
нормативно-правових актiв та нормативних
документiв, вiдповiдно до яких складено перелiк
питань щодо проведення заходу державного
нагляду (контролю).
ОПИС
виявлених порушень
| N з/п | Найменування нормативно-правового акта або нормативного документа, вимоги якого порушено, iз зазначенням статтi (частини, пункту, абзацу тощо), висновок | Детальний опис виявленого порушення |
ПЕРЕЛIК
питань щодо здiйснення контролю за дiями
(бездiяльнiстю) посадових осiб Державної служби
спецiального зв'язку та захисту iнформацiї
України3
| N з/п | Питання щодо здiйснення контролю | Вiдповiдi на питання | Закон України "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi" | ||
| так | нi | дотримання вимог законодавства не є обов'язковим для посадових осiб | |||
| 1 | 2 | 3 | 4 | 5 | 6 |
| 1 | Про проведення планового заходу державного нагляду (контролю) пiдприємство письмово попереджено не менше нiж за 10 календарних днiв до його початку | Частина четверта статтi 5 | |||
| 2 | Посвiдчення (направлення) на проведення заходу державного нагляду (контролю) та службове посвiдчення, що засвiдчує посадову особу органу державного нагляду (контролю), пред'явлено | Частина п'ята статтi 7, абзац третiй статтi 10 | |||
| 3 | Копiю посвiдчення (направлення) на проведення заходу державного нагляду (контролю) надано | Частина п'ята статтi 7, абзаци третiй i шостий статтi 10 | |||
| 4 | Перед початком проведення заходу державного нагляду (контролю) посадовими особами органу державного нагляду (контролю) внесено запис про проведення такого заходу до вiдповiдного журналу суб'єкта господарювання (у разi його наявностi) | Частина дванадцята статтi 4 | |||
| 5 | Пiд час проведення позапланового заходу державного нагляду (контролю) розглядалися лише тi питання, якi стали пiдставою для його проведення i зазначенi у направленнi (посвiдченнi) на проведення такого заходу | Частина перша статтi 6 | |||
____________
3 Ця частина акта
заповнюється виключно керiвником суб'єкта
господарювання або уповноваженою ним особою.
Пояснення, зауваження або заперечення щодо проведеного заходу державного нагляду (контролю) та складеного акта перевiрки
| N з/п | Пояснення, зауваження або заперечення |
Посадовi особи органу державного нагляду (контролю):
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Керiвник суб'єкта господарювання або уповноважена ним особа:
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Iншi особи, якi брали участь у проведеннi заходу державного нагляду (контролю):
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
Примiрник цього акта на рр сторiнках отримано рр.рр.рррр:
| |
|
|
| (найменування посади) | (пiдпис) | (iнiцiали та прiзвище) |
| Вiдмiтка про вiдмову вiд пiдписання керiвником суб'єкта господарювання або уповноваженою ним особою, iншими особами цього акта |
| |
| |
ПЕРЕЛIК
нормативно-правових актiв i нормативних
документiв, вiдповiдно до яких складено перелiк
питань щодо проведення заходу державного
нагляду (контролю)
| N з/п | Нормативно-правовий акт або нормативний документ | Дата i номер державної
реєстрацiї нормативно- правового акта у Мiн'юстi |
Позначення | |
| найменування | дата i номер | |||
| 1 | 2 | 3 | 4 | 5 |
| 1 | Закони України | |||
| 1.1 | Закон України "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах" | 05.07.94 N 80/94-ВР | Закон N 80/94-ВР | |
| 1.2 | Закон України "Про електронний цифровий пiдпис" | 22.05.2003 N 852-IV | Закон N 852-IV | |
| 1.3 | Закон України "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi" | 05.04.2007 N 877-V | Закон N 877-V | |
| 1.4 | Закон України "Про нотарiат" | 02.09.93 N 3425-XII | Закон N 3425-XII | |
| 2 | Постанови Кабiнету Мiнiстрiв України | |||
| 2.1 | Порядок засвiдчення наявностi електронного документа (електронних даних) на певний момент часу, затверджений постановою Кабiнету Мiнiстрiв України | 26.05.2004 N 680 | Порядок N 680 | |
| 2.2 | Порядок акредитацiї центру сертифiкацiї ключiв, затверджений постановою Кабiнету Мiнiстрiв України | 13.07.2004 N 903 | Порядок N 903 | |
| 2.3 | Правила забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, затвердженi постановою Кабiнету Мiнiстрiв України | 29.03.2006 N 373 | Правила N 373 | |
| 3 | Нормативно-правовi акти державних органiв | |||
| 3.1 | Правила посиленої сертифiкацiї, затвердженi наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України | 13.01.2005 N 3 | 27.01.2005 N 104/10384 | Правила N 3 |
| 3.2 | Положення про державну експертизу в сферi технiчного захисту iнформацiї, затверджене наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України | 16.05.2007 N 93 | 16.07.2007 N 820/14087 | Положення N 93 |
| 3.3 | Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї, затверджене наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України | 20.07.2007 N 141 | 30.07.2007 N 862/14129 | Положення N 141 |
| 3.4 | Наказ Мiнiстерства юстицiї України, Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України "Про затвердження вимог до форматiв, структури та протоколiв, що реалiзуються у надiйних засобах електронного цифрового пiдпису" | 20.08.2012 N 1236/5/453 | 20.08.2012 N 1398/21710 | Наказ N 1236/5/453 |
| 3.5 | Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України "Про затвердження Вимог до форматiв криптографiчних повiдомлень" | 18.12.2012 N 739 | 14.01.2013 N 108/22640 | Наказ N 739 |
| (додаток 2 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
| Додаток 3 до Положення про порядок здiйснення державного контролю за додержанням вимог законодавства у сферi електронного цифрового пiдпису (пункт 6.11) |
ПЕРЕЛIК
питань, якi пiдлягають перевiрцi в органах
державної влади, органах мiсцевого
самоврядування, на пiдприємствах, в установах та
органiзацiях державної форми власностi
1. Використання надiйного засобу електронного цифрового пiдпису в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях державної форми власностi (далi - установа).
2. Наявнiсть посилених сертифiкатiв вiдкритих ключiв i вiдповiднiсть змiсту сформованих сертифiкатiв установленим законодавством вимогам у працiвникiв - пiдписувачiв установи.
3. Порядок отримання послуг електронного цифрового пiдпису вiд акредитованих центрiв сертифiкацiї ключiв.
4. Порядок надання працiвникам установи права застосування електронного цифрового пiдпису, ведення облiку, зберiгання та знищення їх особистих ключiв, а також надання акредитованому центру сертифiкацiї ключiв iнформацiї, необхiдної для формування, скасування, блокування або поновлення посилених сертифiкатiв вiдкритих ключiв пiдписувачiв установи.
5. Наявнiсть вiдповiдального пiдроздiлу (особи), який (яка) забезпечує застосування електронного цифрового пiдпису в установi.
6. Наявнiсть положення про вiдповiдальний пiдроздiл, яким визначаються функцiї щодо забезпечення в установi застосування електронного цифрового пiдпису.
7. Ведення облiку засобiв електронного цифрового пiдпису, що використовуються в установi.
8. Надання вiдповiдальним пiдроздiлом допомоги пiдписувачам пiд час генерацiї їх особистих i вiдкритих ключiв.
9. Порядок зберiгання документiв, на пiдставi яких було сформовано посиленi сертифiкати вiдкритих ключiв.
10. Ведення облiку носiїв особистих ключiв пiдписувачiв.
11. Подання до акредитованого центру сертифiкацiї ключiв звернень про скасування, блокування або поновлення посилених сертифiкатiв вiдкритих ключiв пiдписувачiв.
12. Здiйснення контролю вiдповiдальним пiдроздiлом за використанням пiдписувачами засобiв електронного цифрового пiдпису та зберiганням ними особистих ключiв.
| (Положення доповнено додатком 3 згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16.09.2014р. N 462) |
