КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА
від 21 червня 2017 р. N 437
Київ

Про затвердження критеріїв, за якими оцінюється ступінь
ризику від провадження господарської діяльності, що
підлягає ліцензуванню, у сфері надання послуг у галузі
криптографічного захисту інформації (крім послуг
електронного цифрового підпису) та технічного захисту
інформації за переліком, що визначається Кабінетом
Міністрів України, і встановлюється періодичність
проведення планових заходів державного нагляду
(контролю) Адміністрацією Державної служби
спеціального зв'язку та захисту інформації

(Із змінами, внесеними згідно з Постановою КМ
N 1103 від 18.12.20
17)

Відповідно до статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" Кабінет Міністрів України постановляє:

1. Затвердити критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації, згідно з додатком.

2. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 22 серпня 2012 р. N 791 "Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності у галузях криптографічного та технічного захисту інформації, що підлягає ліцензуванню відповідно до Закону України "Про ліцензування певних видів господарської діяльності", і визначається періодичність здійснення планових заходів державного нагляду (контролю)" (Офіційний вісник України, 2012 р., N 64, ст. 2623).

Прем'єр-міністр України В.ГРОЙСМАН

Додаток
до постанови Кабінету Міністрів України
від 21 червня 2017 р. N 437

Критерії,
за якими оцінюється ступінь ризику від провадження господарської
діяльності, що підлягає ліцензуванню, у сфері надання послуг
у галузі криптографічного захисту інформації (крім послуг
електронного цифрового підпису) та технічного захисту
інформації за переліком, що визначається Кабінетом Міністрів
України, і встановлюється періодичність проведення планових
заходів державного нагляду (контролю) Адміністрацією Державної
служби спеціального зв’язку та захисту інформації

1. Критеріями, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню (далі - ліцензована діяльність), у сфері надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) за переліком, що визначається Кабінетом Міністрів України, є:

вид інформації за порядком доступу (таємна, службова), що підлягає захисту під час надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню;

дотримання вимог Ліцензійних умов провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України (далі - Ліцензійні умови);

строк провадження ліцензованої діяльності у сфері надання послуг у галузі криптографічного захисту інформації;

провадження ліцензованої діяльності у сфері надання послуг у галузі криптографічного захисту інформації на виконання державного оборонного замовлення.

2. Відповідно до встановлених критеріїв суб’єкти господарювання, що провадять ліцензовану діяльність у сфері надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), незалежно від форми власності належать до одного з трьох ступенів ризику - високого, середнього або незначного.

3. До суб’єктів господарювання із високим ступенем ризику належать суб’єкти, які відповідають хоча б одній з таких умов:

які мають право надавати послуги у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню (з наданням права провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю), та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованої діяльності становить менш як три роки;

які надавали у поточному та попередньому роках послуги у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню, на виконання державного оборонного замовлення.

4. До суб’єктів господарювання із середнім ступенем ризику належать суб’єкти, які відповідають хоча б одній з таких умов:

які мають право надавати послуги у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню (з наданням права провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю), та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованої діяльності становить більш як три роки або в яких не виявлено фактів порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованої діяльності;

які мають право надавати послуги у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню (з наданням права провадження діяльності у галузі криптографічного захисту службової інформації), та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованої діяльності або в яких не виявлено фактів порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованої діяльності становить менш як п’ять років.

5. До суб’єктів господарювання з незначним ступенем ризику належать суб’єкти, які відповідають (у сукупності) таким умовам:

які мають право надавати послуги у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню (з наданням права провадження діяльності у галузі криптографічного захисту службової інформації);

в яких не виявлено фактів порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю);

в яких строк провадження ліцензованої діяльності становить більш як п’ять років;

які не надавали у поточному та попередньому роках послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), господарська діяльність щодо яких підлягає ліцензуванню, на виконання державного оборонного замовлення.

6. Критеріями, за якими оцінюється ступінь ризику від провадження ліцензованої діяльності у сфері надання послуг у галузі технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, є:

вид інформації за порядком доступу (відкрита, конфіденційна, таємна, службова), що підлягає захисту під час провадження ліцензованої діяльності у сфері надання послуг у галузі технічного захисту інформації;

дотримання вимог Ліцензійних умов;

строк провадження ліцензованої діяльності у сфері надання послуг у галузі технічного захисту інформації;

вид послуг у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню;

призначення інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких проводиться оцінювання захищеності інформації;

рівень важливості об’єктів інформаційної діяльності, на яких проводиться оцінювання захищеності інформації та/або виявлення закладних пристроїв.

7. Відповідно до встановлених критеріїв суб’єкти господарювання, що провадять ліцензовану діяльність у сфері надання послуг у галузі технічного захисту інформації, незалежно від форми власності належать до одного з трьох ступенів ризику - високого, середнього або незначного.

8. До суб’єктів господарювання із високим ступенем ризику належать суб’єкти, які відповідають хоча б одній з таких умов:

які мають право надавати послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованої діяльності становить менш як три роки;

які надавали у поточному та попередньому роках послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації, що не становить державної таємниці, або з оцінювання захищеності інформації всіх видів, у тому числі інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, які забезпечують функціонування державних реєстрів, та/або на об’єктах інформаційної діяльності у місцях постійного або тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона;

які надавали у поточному та попередньому роках послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з виявлення закладних пристроїв на об’єктах інформаційної діяльності у місцях постійного або тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона.

9. До суб’єктів господарювання із середнім ступенем ризику належать суб’єкти, які відповідають хоча би одній з таких умов:

які мають право надавати послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації всіх видів, у тому числі інформації, що становить державну таємницю, та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованої діяльності становить більш як три роки або в яких не виявлено фактів порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованої діяльності;

які мають право надавати послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації, що не становить державної таємниці, та в яких виявлено факти порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованої діяльності;

які надавали у поточному та попередньому роках послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації всіх видів, у тому числі інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, які забезпечують функціонування баз даних органів державної влади, та/або на об’єктах інформаційної діяльності, на яких встановлені абонентські установки урядового зв’язку (крім об’єктів інформаційної діяльності у місцях постійного або тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона);

які надавали у поточному та попередньому роках послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з виявлення закладних пристроїв на об’єктах інформаційної діяльності, на яких встановлені абонентські установки урядового зв’язку (крім об’єктів інформаційної діяльності у місцях постійного або тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона).

10. До суб’єктів господарювання з незначним ступенем ризику належать суб’єкти, які відповідають (у сукупності) таким умовам:

які мають право надавати послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації, що не становить державної таємниці, та/або з виявлення закладних пристроїв;

в яких не виявлено фактів порушення вимог Ліцензійних умов під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю);

які не надавали у поточному та попередньому роках послуг у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з оцінювання захищеності інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, які забезпечують функціонування державних реєстрів та баз даних органів державної влади;

які не надавали у поточному та попередньому роках послуг у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, з виявлення закладних пристроїв на об’єктах інформаційної діяльності у місцях постійного або тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона, та на об’єктах інформаційної діяльності, на яких встановлені абонентські установки урядового зв’язку.

11. Планові заходи державного нагляду (контролю) за діяльністю суб’єктів господарювання здійснюються Адміністрацією Держспецзв’язку з такою періодичністю:

з високим ступенем ризику - не частіше ніж один раз на два роки;

із середнім ступенем ризику - не частіше ніж один раз на три роки;

з незначним ступенем ризику - не частіше ніж один раз на п’ять років.

12. У разі коли суб’єкт господарювання може бути віднесений одночасно до двох або більше ступенів ризику, такий суб’єкт відноситься до більш високого ступеня ризику з числа тих, до яких він може бути віднесений.

13. У разі коли за результатами планових та позапланових заходів державного нагляду (контролю) (за наявності) протягом останніх шести років для суб’єктів господарювання, які віднесені до середнього ступеня ризику, та протягом останніх десяти років для суб’єктів господарювання, які віднесені до незначного ступеня ризику, у суб’єкта господарювання не виявлено порушень ліцензійних умов провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, наступний плановий захід державного нагляду (контролю) щодо такого суб’єкта господарювання проводиться не раніше ніж через період часу, встановлений для відповідного ступеня ризику, збільшений в 1,5 раза.

Якщо з дня прийняття такого рішення за результатами позапланових перевірок виявлено порушення суб’єктом господарювання вимог законодавства у відповідній сфері, наступний плановий захід державного нагляду (контролю) щодо такого суб’єкта господарювання проводиться у наступному плановому періоді.

(Пункт 13 в редакції Постанови КМ N 1103 від 18.12.2017)