АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ
16.09.2014 N 462

Зареєстровано
в Міністерстві юстиції України
08 жовтня 2014 р. за N 1217/25994

Про внесення змін до
наказу Адміністрації Держспецзв'язку
від 24 липня 2007 року N 143

Відповідно до статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", статті 12 Закону України "Про електронний цифровий підпис", пункту 2 постанови Кабінету Міністрів України від 28 серпня 2013 року N 752 "Про затвердження методик розроблення критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю), а також уніфікованих форм актів, що складаються за результатами проведення планових (позапланових) заходів державного нагляду (контролю)" НАКАЗУЮ:

1. Унести до наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 липня 2007 року N 143 "Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису", зареєстрованого в Міністерстві юстиції України 08 серпня 2007 року за N 914/14181, такі зміни:

1.1. Заголовок наказу викласти в такій редакції:

"Про затвердження Положення про порядок здійснення
державного контролю за додержанням вимог законодавства
у сфері електронного цифрового підпису
".

1.2. У пункті 1 слова "надання послуг" виключити.

2. Затвердити Зміни до Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 24 липня 2007 року N 143, зареєстрованого в Міністерстві юстиції України 08 серпня 2007 року за N 914/14181 (із змінами), що додаються.

3. Директору Департаменту криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України у п’ятиденний строк після підписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацію до Міністерства юстиції України.

4. Цей наказ набирає чинності з 01 січня 2015 року.

5. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України Корнейка О.В.

Голова Служби В.П. Звєрєв

Затверджено
Наказ Адміністрації Державної служби
спеціального зв’язку та
захисту інформації України
16.09.2014 N 462

Зареєстровано
в Міністерстві юстиції України
08 жовтня 2014 р. за N 1217/25994

Зміни
до Положення про порядок здійснення державного
контролю за додержанням вимог законодавства у
сфері надання послуг електронного цифрового підпису

1. Заголовок Положення викласти в такій редакції:

"Положення
про порядок здійснення державного контролю за додержанням
вимог законодавства у сфері електронного цифрового підпису
".

2. У главі 1:

у пункті 1.1 слова та цифри "Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411";

у пункті 1.3 слова та цифри "підпункту 33 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "підпункту 20 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411".

3. Абзац четвертий пункту 2.1 глави 2 після слова "особами" доповнити словами "Державної служби спеціального зв’язку та захисту інформації України".

4. У главі 3:

пункт 3.6 викласти в такій редакції:

"3.6. Предметом перевірки центрального засвідчувального органу, засвідчувальних центрів та акредитованих центрів є стан дотримання законодавства у сфері ЕЦП, у тому числі Закону України "Про електронний цифровий підпис", Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року N 903, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1451, Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1452, Порядку обов'язкової передачі документованої інформації, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1454, Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу, затвердженого постановою Кабінету Міністрів України від 26 травня 2004 року N 680, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року N 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за N 104/10384 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 року N 50), інших нормативно-правових актів, а також регламентів їх роботи.";

пункт 3.8 викласти в такій редакції:

"3.8. Предметом перевірки центрів сертифікації ключів є стан дотримання положень Закону України "Про електронний цифровий підпис", інших нормативно-правових актів у сферах ЕЦП та захисту інформації під час надання послуг ЕЦП";

пункт 3.9 після слова "криптографічного" доповнити словами "та технічного".

5. Пункт 4.2 глави 4 викласти в такій редакції:

"4.2. Періодичність проведення планових перевірок акредитованих центрів і центрів сертифікації ключів, що є суб'єктами господарювання, визначається Критеріями, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв'язку та захисту інформації, затвердженими постановою Кабінету Міністрів України від 13 серпня 2014 року N 329.

Планові перевірки центрального засвідчувального органу, засвідчувального центру, акредитованого центру державного органу проводяться з періодичністю один раз на рік.

Планові перевірки державних установ проводяться з періодичністю один раз на чотири роки.".

6. У главі 5:

в абзаці п’ятому пункту 5.5 слова "за рішенням голови Комісії -" виключити;

в абзаці першому пункту 5.6 слова "несуть відповідальність" замінити словом "відповідають".

7. У главі 6:

абзац сьомий пункту 6.7 після слова "голови" доповнити словами "та членів";

пункт 6.11 викласти в такій редакції:

"6.11. Перевірка центрального засвідчувального органу, засвідчувального центру проводиться за Переліком питань, які підлягають перевірці в центральному засвідчувальному органі та засвідчувальному центрі (додаток 1).

Перевірка акредитованого центру, центру сертифікації ключів проводиться за переліком питань, які наведені в акті, складеному за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб’єктом господарювання вимог законодавства у сфері послуг електронного цифрового підпису, форма якого наведена у додатку 2 до цього Положення.

Перевірка державних установ під час застосування ЕЦП проводиться за Переліком питань, які підлягають перевірці в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності (додаток 3).".

8. Пункт 7.1 глави 7 викласти в такій редакції:

"7.1. За результатами перевірки акредитованого центру або центру сертифікації ключів, що є суб’єктом господарювання, голова та члени Комісії складають акт за формою, наведеною у додатку 2 до цього Положення.

За результатами перевірки центрального засвідчувального органу, засвідчувального центру, акредитованого центру державного органу, державних установ голова та члени Комісії складають акт у довільній формі, який містить такі відомості:

найменування контролюючого органу, а також посади, прізвища, ініціали голови та членів Комісії;

найменування суб’єкта перевірки, а також прізвище та ініціали керівника суб’єкта перевірки;

тип перевірки (планова або позапланова);

дату та номер посвідчення на перевірку;

строк проведення заходу державного нагляду (контролю);

місцезнаходження суб’єкта перевірки;

результати попередньої перевірки;

причини невиконання встановлених вимог (якщо такі є);

назву та короткий зміст документів, наданих під час перевірки;

що було встановлено під час перевірки, у тому числі висвітлити показники, які характеризують роботу суб’єкта перевірки в цілому;

виявлені під час перевірки порушення і недоліки;

висновки за результатами перевірки;

факти протидії проведенню перевірки (якщо такі були);

рекомендації щодо усунення виявлених порушень (за наявності);

дату складання акта;

підписи голови та членів Комісії;

підпис керівника суб’єкта перевірки або особи, що його замінює, про ознайомлення з актом перевірки.".

9. У главі 8:

пункт 8.1 після слів "здійснення перевірки" доповнити словами "центрального засвідчувального органу, засвідчувального центру, акредитованого центру, центру сертифікації ключів";

пункт 8.4 після слова "приписі" доповнити словами "(для державних установ щодо застосування ЕЦП - акті перевірки)";

пункт 8.5 після слова "приписі" доповнити словами "(для державних установ щодо застосування ЕЦП - акті перевірки)";

у пункті 8.6 слова "компрометації особистого ключа" замінити словами "компрометації особистого ключа,".

10. Доповнити Положення новим пунктом такого змісту:

"8.10. У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган пропонує центральному засвідчувальному органу шляхи їх усунення.

У разі виявлення порушення вимог, встановлених законодавством для засвідчувального центру, контролюючий орган повідомляє центральний засвідчувальний орган про застосування заходів стосовно суб’єкта перевірки.".

11. Відмітку у верхньому правому куті першого аркуша додатка 1 викласти в такій редакції:

"Додаток 1
до Положення про порядок здійснення
державного контролю за додержанням
вимог законодавства у сфері електронного
цифрового підпису (пункт 6.11)".

12. Додаток 2 викласти в новій редакції, що додається.

13. Доповнити Положення новим додатком 3, що додається.

Заступник директора Департаменту криптографічного захисту
інформації Адміністрації Держспецзв’язку Я.В. Головко

Додаток 2
до Положення про порядок здійснення
державного контролю за додержанням
вимог законодавства у сфері електронного
цифрового підпису (пункт 6.11)

Акт,
складений за результатами проведення планового
(позапланового) заходу державного нагляду (контролю)
щодо додержання суб’єктом господарювання вимог
законодавства у сфері послуг електронного
цифрового підпису

З Додатком 2 можна ознайомитись: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".

Додаток 3
до Положення про порядок здійснення
державного контролю за додержанням
вимог законодавства у сфері електронного
цифрового підпису (пункт 6.11)

Перелік
питань, які підлягають перевірці в органах
державної влади, органах місцевого самоврядування,
на підприємствах, в установах та організаціях
державної форми власності

1. Використання надійного засобу електронного цифрового підпису в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності (далі - установа).

2. Наявність посилених сертифікатів відкритих ключів і відповідність змісту сформованих сертифікатів установленим законодавством вимогам у працівників - підписувачів установи.

3. Порядок отримання послуг електронного цифрового підпису від акредитованих центрів сертифікації ключів.

4. Порядок надання працівникам установи права застосування електронного цифрового підпису, ведення обліку, зберігання та знищення їх особистих ключів, а також надання акредитованому центру сертифікації ключів інформації, необхідної для формування, скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів установи.

5. Наявність відповідального підрозділу (особи), який (яка) забезпечує застосування електронного цифрового підпису в установі.

6. Наявність положення про відповідальний підрозділ, яким визначаються функції щодо забезпечення в установі застосування електронного цифрового підпису.

7. Ведення обліку засобів електронного цифрового підпису, що використовуються в установі.

8. Надання відповідальним підрозділом допомоги підписувачам під час генерації їх особистих і відкритих ключів.

9. Порядок зберігання документів, на підставі яких було сформовано посилені сертифікати відкритих ключів.

10. Ведення обліку носіїв особистих ключів підписувачів.

11. Подання до акредитованого центру сертифікації ключів звернень про скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів.

12. Здійснення контролю відповідальним підрозділом за використанням підписувачами засобів електронного цифрового підпису та зберіганням ними особистих ключів.