Идет загрузка документа (131 kByte)
Главный правовой
портал Украины
Главный правовой
портал Украины
Остаться Попробовать

О внесении изменений в приказ Администрации Госспецсвязи от 24 июля 2007 года N 143

Администрация Государственной службы специальной связи и защиты информации Украины
Приказ от 16.09.2014 № 462
действует с 01.01.2015

АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

16.09.2014

м. Київ

N 462

Зареєстровано в Міністерстві юстиції України
08 жовтня 2014 р. за N 1217/25994

Про внесення змін до наказу Адміністрації Держспецзв'язку від 24 липня 2007 року N 143

Відповідно до статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", статті 12 Закону України "Про електронний цифровий підпис", пункту 2 постанови Кабінету Міністрів України від 28 серпня 2013 року N 752 "Про затвердження методик розроблення критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю), а також уніфікованих форм актів, що складаються за результатами проведення планових (позапланових) заходів державного нагляду (контролю)"

НАКАЗУЮ:

1. Унести до наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 24 липня 2007 року N 143 "Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису", зареєстрованого в Міністерстві юстиції України 08 серпня 2007 року за N 914/14181, такі зміни:

1.1. Заголовок наказу викласти в такій редакції:

"Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису".

1.2. У пункті 1 слова "надання послуг" виключити.

2. Затвердити Зміни до Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 24 липня 2007 року N 143, зареєстрованого в Міністерстві юстиції України 08 серпня 2007 року за N 914/14181 (із змінами), що додаються.

3. Директору Департаменту криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України у п'ятиденний строк після підписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацію до Міністерства юстиції України.

4. Цей наказ набирає чинності з 01 січня 2015 року.

5. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України Корнейка О. В.

 

Голова Служби

В. П. Звєрєв

ПОГОДЖЕНО:

 

В. о. Голови Антимонопольного
комітету України

М. Я. Бараш

Міністр економічного
розвитку і торгівлі України

П. Шеремета

Т. в. о. Голови
Державної служби України
з питань регуляторної політики
та розвитку підприємництва

О. Ю. Потімков

 

 

Зміни
до Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису

1. Заголовок Положення викласти в такій редакції:

"Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису".

2. У главі 1:

у пункті 1.1 слова та цифри "Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411";

у пункті 1.3 слова та цифри "підпункту 33 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "підпункту 20 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411".

3. Абзац четвертий пункту 2.1 глави 2 після слова "особами" доповнити словами "Державної служби спеціального зв'язку та захисту інформації України".

4. У главі 3:

пункт 3.6 викласти в такій редакції:

"3.6. Предметом перевірки центрального засвідчувального органу, засвідчувальних центрів та акредитованих центрів є стан дотримання законодавства у сфері ЕЦП, у тому числі Закону України "Про електронний цифровий підпис", Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року N 903, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1451, Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1452, Порядку обов'язкової передачі документованої інформації, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1454, Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу, затвердженого постановою Кабінету Міністрів України від 26 травня 2004 року N 680, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року N 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за N 104/10384 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 року N 50), інших нормативно-правових актів, а також регламентів їх роботи.";

пункт 3.8 викласти в такій редакції:

"3.8. Предметом перевірки центрів сертифікації ключів є стан дотримання положень Закону України "Про електронний цифровий підпис", інших нормативно-правових актів у сферах ЕЦП та захисту інформації під час надання послуг ЕЦП";

пункт 3.9 після слова "криптографічного" доповнити словами "та технічного".

5. Пункт 4.2 глави 4 викласти в такій редакції:

"4.2. Періодичність проведення планових перевірок акредитованих центрів і центрів сертифікації ключів, що є суб'єктами господарювання, визначається Критеріями, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв'язку та захисту інформації, затвердженими постановою Кабінету Міністрів України від 13 серпня 2014 року N 329.

Планові перевірки центрального засвідчувального органу, засвідчувального центру, акредитованого центру державного органу проводяться з періодичністю один раз на рік.

Планові перевірки державних установ проводяться з періодичністю один раз на чотири роки.".

6. У главі 5:

в абзаці п'ятому пункту 5.5 слова "за рішенням голови Комісії -" виключити;

в абзаці першому пункту 5.6 слова "несуть відповідальність" замінити словом "відповідають".

7. У главі 6:

абзац сьомий пункту 6.7 після слова "голови" доповнити словами "та членів";

пункт 6.11 викласти в такій редакції:

"6.11. Перевірка центрального засвідчувального органу, засвідчувального центру проводиться за Переліком питань, які підлягають перевірці в центральному засвідчувальному органі та засвідчувальному центрі (додаток 1).

Перевірка акредитованого центру, центру сертифікації ключів проводиться за переліком питань, які наведені в акті, складеному за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб'єктом господарювання вимог законодавства у сфері послуг електронного цифрового підпису, форма якого наведена у додатку 2 до цього Положення.

Перевірка державних установ під час застосування ЕЦП проводиться за Переліком питань, які підлягають перевірці в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності (додаток 3).".

8. Пункт 7.1 глави 7 викласти в такій редакції:

"7.1. За результатами перевірки акредитованого центру або центру сертифікації ключів, що є суб'єктом господарювання, голова та члени Комісії складають акт за формою, наведеною у додатку 2 до цього Положення.

За результатами перевірки центрального засвідчувального органу, засвідчувального центру, акредитованого центру державного органу, державних установ голова та члени Комісії складають акт у довільній формі, який містить такі відомості:

найменування контролюючого органу, а також посади, прізвища, ініціали голови та членів Комісії;

найменування суб'єкта перевірки, а також прізвище та ініціали керівника суб'єкта перевірки;

тип перевірки (планова або позапланова);

дату та номер посвідчення на перевірку;

строк проведення заходу державного нагляду (контролю);

місцезнаходження суб'єкта перевірки;

результати попередньої перевірки;

причини невиконання встановлених вимог (якщо такі є);

назву та короткий зміст документів, наданих під час перевірки;

що було встановлено під час перевірки, у тому числі висвітлити показники, які характеризують роботу суб'єкта перевірки в цілому;

виявлені під час перевірки порушення і недоліки;

висновки за результатами перевірки;

факти протидії проведенню перевірки (якщо такі були);

рекомендації щодо усунення виявлених порушень (за наявності);

дату складання акта;

підписи голови та членів Комісії;

підпис керівника суб'єкта перевірки або особи, що його замінює, про ознайомлення з актом перевірки.".

9. У главі 8:

пункт 8.1 після слів "здійснення перевірки" доповнити словами "центрального засвідчувального органу, засвідчувального центру, акредитованого центру, центру сертифікації ключів";

пункт 8.4 після слова "приписі" доповнити словами "(для державних установ щодо застосування ЕЦП - акті перевірки)";

пункт 8.5 після слова "приписі" доповнити словами "(для державних установ щодо застосування ЕЦП - акті перевірки)";

у пункті 8.6 слова "компрометації особистого ключа" замінити словами "компрометації особистого ключа,".

10. Доповнити Положення новим пунктом такого змісту:

"8.10. У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган пропонує центральному засвідчувальному органу шляхи їх усунення.

У разі виявлення порушення вимог, встановлених законодавством для засвідчувального центру, контролюючий орган повідомляє центральний засвідчувальний орган про застосування заходів стосовно суб'єкта перевірки.".

11. Відмітку у верхньому правому куті першого аркуша додатка 1 викласти в такій редакції:

 

12. Додаток 2 викласти в новій редакції, що додається.

13. Доповнити Положення новим додатком 3, що додається.

 

Заступник директора Департаменту
криптографічного захисту інформації
Адміністрації Держспецзв'язку

Я. В. Головко

 

АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

вул. Солом'янська, 13, м. Київ, 03680,
телефон (0-44) 281-92-10, телефакс (0-44) 281-94-83,
адреса електронної пошти: info@dsszzi.gov.ua

АКТ,
складений за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб'єктом господарювання вимог законодавства у сфері послуг електронного цифрового підпису

від  N  

_____________________________________________________________________________________
          (найменування юридичної особи (відокремленого підрозділу) або прізвище,
___________________________________________________________________________________,
ім'я та по батькові фізичної особи - підприємця)

код згідно з ЄДРПОУ, або реєстраційний номер облікової картки
платника податків  або серія та номер паспорта1
_____________________________________________________________________________________
                                                           (місцезнаходження суб'єкта господарювання, номери телефону,
_____________________________________________________________________________________
                                                                             телефаксу та адреса електронної пошти)

____________
1 Для фізичних осіб, які через свої релігійні переконання відмовилися від прийняття реєстраційного номера облікової картки платника податків, повідомили про це відповідний орган доходів і зборів та мають відмітку в паспорті.

Загальна інформація про проведення заходу державного нагляду (контролю):

Розпорядчий документ, на виконання якого
проводиться захід державного нагляду
(контролю), від  N  

Посвідчення (направлення)
від  N  

Тип заходу державного нагляду (контролю):

  плановий;

  позаплановий

Строк проведення заходу державного нагляду (контролю):

Початок

Завершення

  

  

  

  

  

  

  

  

  

  

число

місяць

рік

години

хвилини

число

місяць

рік

години

хвилини

Особи, що беруть участь у проведенні заходу державного нагляду (контролю):

посадові особи Державної служби спеціального зв'язку та захисту інформації України:
_____________________________________________________________________________________
                                                                      (найменування посад, прізвища, імена та по батькові)

керівник суб'єкта господарювання або уповноважена ним особа:
_____________________________________________________________________________________
                                                                   (найменування посади, прізвище, ім'я та по батькові)

інші особи:
_____________________________________________________________________________________
                                                                   (найменування посад, прізвища, імена та по батькові)

Дані про останній проведений захід державного нагляду (контролю):

Плановий

Позаплановий

  не було

  не було

  був з  по
  

Акт перевірки N
  

Припис щодо усунення порушень:

  не видавався;   видавався;
його вимоги:   виконано;   не виконано

  був з  по
  

Акт перевірки N
  

Припис щодо усунення порушень:

  не видавався;   видавався;
його вимоги:    виконано;   не виконано

ПЕРЕЛІК
питань щодо проведення заходу державного нагляду (контролю)

N з/п

Питання щодо дотримання суб'єктом господарювання вимог законодавства

Відповіді на питання

Нормативне обґрунтування 2

так

ні

дотри-
мання вимог законо-
давства не є обов'яз-
ковим для суб'єкта госпо-
дарю-
вання

не розгля-
далося

1

2

3

4

5

6

7

Загальні питання

1

Вимоги, які містяться в наданих приписах, розпорядженнях або інших розпорядчих документах щодо усунення порушень, виявлених попередньою перевіркою, виконано

 

 

 

 

Абзац п'ятий частини першої статті 8 Закону N 877-V

2

Свідоцтво про акредитацію центру сертифікації ключів, засвідчувального центру:

  

  

  

  

Абзац перший статті 9 Закону N 852-IV, пункт 8 Порядку N 903

2.1

В наявності

 

 

 

 

2.2

Чинне

 

 

 

 

3

Наявність підстав для повторної акредитації

 

 

 

 

Пункти 11 та 13 Порядку N 903

4

Спеціальний рахунок для забезпечення відшкодування збитків, які можуть бути завдані внаслідок неналежного виконання центром сертифікації ключів своїх зобов'язань, наявний (не перевіряється в центрі сертифікації ключів, який надає послуги ЕЦП виключно органам державної влади)

 

 

 

 

Абзац перший пункту 5 Порядку N 903

Забезпечення безпеки інформаційних ресурсів в центрі сертифікації ключів

5

Атестат відповідності на комплексну систему захисту інформації (далі - КСЗІ) в інформаційно-телекомунікаційній системі центру сертифікації ключів (далі - ІТС):

  

  

  

  

Частина друга статті 8 Закону N 80/94-ВР, пункт 35 Порядку N 903, підпункт 6.1.2 пункту 6.1 розділу 6 Правил N 3

5.1

В наявності

 

 

 

 

5.2

Чинний

 

 

 

 

6

Експлуатація ІТС здійснюється відповідно до вимог:

  

  

  

  

 

6.1

Технічного завдання на створення КСЗІ в ІТС

 

 

 

 

Абзац другий пункту 20 Правил N 373

6.2.

Експертного висновку, що додається до атестата КСЗІ в ІТС

 

 

 

 

Частина третя статті 8, стаття 10 Закону N 80/94-ВР, пункт 8 додатка 8, додаток 9 до Положення N 93

6.3

Плану захисту інформації в ІТС

 

 

 

 

Пункт 19 Правил N 373

7

Службу захисту інформації створено

 

 

 

 

Пункт 36 Порядку N 903

8

В акредитованому центрі сертифікації ключів є посади адміністратора безпеки, адміністратора сертифікації, адміністратора реєстрації, системного адміністратора

 

 

 

 

Пункт 25 Порядку N 903, підпункт 6.2.3 пункту 6.2 розділу 6 Правил N 3

9

Обслуговуючий персонал центру сертифікації ключів має відповідні знання, досвід та навички, необхідні для забезпечення надання послуг ЕЦП

 

 

 

 

Пункт 24 Порядку N 903, підпункт 6.2.1 пункту 6.2 розділу 6 Правил N 3

10

Фізичний доступ до обладнання ПТК, що забезпечує сертифікацію, управління статусом сертифіката, генерацію ключів центру сертифікації ключів, надається тільки визначеному керівництвом центру сертифікації ключів колу осіб із числа обслуговуючого персоналу

 

 

 

 

Абзаци шостий та сьомий пункту 20 Порядку N 903, підпункт 6.3.1 пункту 6.3 розділу 6 Правил N 3

Експлуатація засобів криптографічного захисту інформації (далі - КЗІ), надійних засобів електронного цифрового підпису (далі - ЕЦП) та програмно-технічного комплексу (далі - ПТК)

11

Засоби КЗІ (ЕЦП), ПТК мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації

 

 

 

 

Абзац восьмий пункту 20 Порядку N 903, абзац перший пункту 4.1 розділу 4 Положення N 141, підпункт 6.1.2 пункту 6.1 розділу 6 Правил N 3

12

Сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, виданий на засіб КЗІ (ЕЦП) (що надається у користування підписувачам), підтверджує правильність реалізації:

  

  

  

  

Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453

12.1

Формату підписаних даних

 

 

 

 

Підпункт 1.4 пункту 1 Наказу N 1236/5/453

12.2

Протоколу фіксування часу

 

 

 

 

Підпункт 1.5 пункту 1 Наказу N 1236/5/453

12.3

Протоколу визначення статусу сертифіката

 

 

 

 

Підпункт 1.6 пункту 1 Наказу N 1236/5/453

12.4

Формату криптографічних повідомлень

 

 

 

 

Пункт 2 Наказу N 739

13

Сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, виданий на ПТК, підтверджує правильність реалізації:

  

  

  

  

Абзац восьмий пункту 20 Порядку N 903, пункт 2 Наказу N 1236/5/453

13.1

Формату посиленого сертифіката відкритого ключа

 

 

 

 

Підпункт 1.1 пункту 1 Наказу N 1236/5/453

13.2

Формату списку відкликаних сертифікатів

 

 

 

 

Підпункт 1.3 пункту 1 Наказу N 1236/5/453

13.3

Протоколу фіксування часу

 

 

 

 

Підпункт 1.5 пункту 1 Наказу N 1236/5/453

13.4

Протоколу визначення статусу сертифіката

 

 

 

 

Підпункт 1.6 пункту 1 Наказу N 1236/5/453

14

Засоби КЗІ (ЕЦП) введені в експлуатацію наказом керівника центру сертифікації ключів

 

 

 

 

Пункт 4.2 Положення N 141

15

Засоби КЗІ (ЕЦП) взято на облік

 

 

 

 

Абзац перший пункту 4.3 розділу 4 Положення N 141

16

Експлуатація ПТК, засобів КЗІ (ЕЦП) здійснюється відповідно до вимог:

  

  

  

  

Пункт 4.5 розділу 4 Положення N 141

16.1

Експлуатаційної документації

 

 

 

 

16.2

Інструкції із забезпечення безпеки експлуатації

 

 

 

 

16.3

Інструкції щодо порядку генерації ключових даних та поводження з ключовими документами

 

 

 

 

17

Посадові особи центру сертифікації ключів, що використовують засоби КЗІ (ЕЦП):

  

  

  

  

Пункт 4.9 розділу 4 Положення N 141

17.1

Ознайомлені з інструкцією щодо порядку генерації ключових даних та поводження з ключовими документами в частині, що їх стосується

 

 

 

 

17.2

Дотримуються вимог інструкції щодо порядку генерації ключових даних та поводження з ключовими документами

 

 

 

 

18

Передача засобів КЗІ (ЕЦП) підписувачам здійснюється на підставі договорів, у яких указуються порядок установлення та обслуговування цих засобів, забезпечення ключовими документами (ключовими даними), а також ужиття заходів щодо забезпечення режиму безпеки (перевіряється у разі надання такої послуги)

 

 

 

 

Пункт 4.4 розділу 4 Положення N 141

Управління ключами

19

Генерація особистого та відкритого ключів центру сертифікації ключів здійснюється:

  

  

  

  

 

19.1

У спеціальному приміщенні

 

 

 

 

Підпункт 4.1.1 пункту 4.1 розділу 4 Правил N 3

19.2

За допомогою надійних засобів ЕЦП

 

 

 

 

Підпункт 4.1.2 пункту 4.1 розділу 4 Правил N 3

19.3

За участю або під контролем не менше двох визначених осіб із обслуговуючого персоналу

 

 

 

 

Підпункт 4.1.1 пункту 4.1 розділу 4 Правил N 3

20

Резервування особистого ключа центру сертифікації ключів здійснюється:

  

  

  

  

Підпункт 4.2.3 пункту 4.2 розділу 4 Правил N 3

20.1

У спеціальному приміщенні

 

 

 

 

20.2

За участю або під контролем не менше двох визначених осіб із обслуговуючого персоналу

 

 

 

 

21

Відновлення особистого ключа центру сертифікації ключів здійснюється:

  

  

  

  

Підпункт 4.2.3 пункту 4.2 розділу 4 Правил N 3

21.1

У спеціальному приміщенні

 

 

 

 

21.2

За участю або під контролем не менше двох визначених осіб із обслуговуючого персоналу

 

 

 

 

22

Зберігання та використання особистого ключа центру сертифікації ключів здійснюються у спеціальному приміщенні

 

 

 

 

Підпункт 4.2.3 пункту 4.2 та підпункт 4.3.2 пункту 4.3 розділу 4 Правил N 3

23

Зберігання резервної копії особистого ключа центру сертифікації ключів здійснюється:

  

  

  

  

 

23.1

У захищеному вигляді

 

 

 

 

Підпункт 4.2.2 пункту 4.2 розділу 4 Правил N 3

23.2

У спеціальному приміщенні або у сховищі, виготовленому в екранованому виконанні, що відповідає вимогам Правил із забезпеченням захисту від несанкціонованого доступу до нього

 

 

 

 

Підпункти 4.2.3, 4.2.4 пункту 4.2 розділу 4 Правил N 3, пункт 3 додатка до Правил N 3

24

Особистий ключ центру сертифікації ключів та всі його резервні копії після закінчення терміну їх дії знищено способом, що не дозволяє їх відновлення

 

 

 

 

Підпункт 4.4.2 пункту 4.4 розділу 4 Правил N 3

25

Генерація ключів підписувачів здійснюється:

  

  

  

  

 

25.1

За допомогою надійних засобів ЕЦП

 

 

 

 

Підпункт 4.5.4 пункту 4.5 розділу 4 Правил N 3, абзац п'ятнадцятий Закону N 852-IV

25.2

Із забезпеченням конфіденційності особистого ключа підписувача

 

 

 

 

Підпункти 4.5.1, 4.5.2 пункту 4.4 розділу 4 Правил N 3

Надання послуг ЕЦП

26

Встановлення юридичних осіб здійснюється відповідно до Регламенту роботи АЦСК за її установчими документами (положення, статут юридичної особи тощо) або копіями таких документів, які нотаріально посвідчені відповідно до вимог Закону України "Про нотаріат"

 

 

 

 

Підпункт 5.2.1 пункту 5.2 розділу 5 Правил N 3, підпункт "ґ" пункту 3.2 розділу 3 Правил N 3, Закон N 3425-XII

27

Встановлення фізичної особи здійснюється за паспортом або іншими документами відповідно до Регламенту роботи АЦСК

 

 

 

 

Підпункт 5.2.2 пункту 5.2 розділу 5 Правил N 3, підпункт "ґ" пункту 3.2 розділу 3 Правил N 3

28

Заявників із умовами обслуговування (посилених) сертифікатів відкритих ключів ознайомлено

 

 

 

 

Підпункт 5.2.6 пункту 5.2 розділу 5 Правил N 3

29

Договір про надання послуг ЕЦП містить обов'язкові реквізити

 

 

 

 

Пункт 32 Порядку N 903, підпункт 5.2.7 пункту 5.2 розділу 5 Правил N 3

30

Укладені із заявниками договори, а також документи (посвідчені в установленому порядку копії документів), що використовуються під час реєстрації, на облік взято

 

 

 

 

Підпункт 5.2.9 пункту 5.2 розділу 5 Правил N 3

31

Сертифікати відкритих ключів:

  

  

  

  

 

31.1

Містять обов'язкові реквізити

 

 

 

 

Стаття 6 Закону N 852-IV

31.2

Відповідають вимогам до посиленого сертифіката відкритого ключа

 

 

 

 

Пункт 2 Наказу N 1236/5/453

32

При повторному формуванні сертифіката відкритого ключа здійснюється перевірка дійсності попередньої реєстраційної інформації

 

 

 

 

Підпункт 5.3.1 пункту 5.3 розділу 5 Правил N 3

33

Скасування, блокування та поновлення сертифікатів відкритих ключів здійснюється:

  

  

  

  

 

33.1

Із встановленням особи заявника

 

 

 

 

Підпункт 5.7.2 пункту 5.7 розділу 5 Правил N 3

33.2

В термін, встановлений регламентом роботи центру сертифікації ключів

 

 

 

 

Абзац п'ятий частини четвертої статті 8 Закону N 852-IV,
абзац сьомий підпункту "д" пункту 3.2 розділу 3 Правил N 3

33.3

З інформуванням підписувачів

 

 

 

 

Підпункт 5.7.3 пункту 5.7 розділу 5 Правил N 3

34

Приймання заяв про скасування, блокування та поновлення сертифікатів відкритих ключів підписувачів проводиться цілодобово

 

 

 

 

Стаття 8 Закону N 852-IV, пункт 31 Порядку N 903

35

Доступ користувачів до сертифікатів відкритих ключів, списків відкликаних сертифікатів забезпечується цілодобово

 

 

 

 

Стаття 8 Закону N 852-IV, пункт 30 Порядку N 903

36

Час у ПТК синхронізований з Всесвітнім координованим часом з точністю до однієї секунди

 

 

 

 

Пункт 4 Порядку N 680, пункт 5.8 розділу 5 Правил N 3

37

Забезпечено ведення протоколювання подій, пов'язаних із генерацією, використанням та знищенням особистого ключа акредитованого центру

 

 

 

 

Підпункт 4.1.3 пункту 4.1 розділу 4 Правил N 3

38

Забезпечено реєстрацію таких подій:

  

  

  

  

 

38.1

Спроби створення, знищення, встановлення пароля, зміни прав доступу, системних привілеїв тощо у програмно-технічному комплексі центру сертифікації ключів

 

 

 

 

Абзац другий підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

38.2

Заміни ключів

 

 

 

 

Абзац третій підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

38.3

Формування, переформування, блокування, скасування та поновлення сертифікатів відкритих ключів, а також формування списків скасованих сертифікатів

 

 

 

 

Абзац четвертий підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

38.4

Спроби несанкціонованого доступу до програмно-технічного комплексу

 

 

 

 

Абзац п'ятий підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

38.5

Надання доступу до програмно-технічного комплексу персоналу центру сертифікації ключів

 

 

 

 

Абзац шостий підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

38.6

Збої у роботі програмно-технічного комплексу центру сертифікації ключів

 

 

 

 

Абзац сьомий підпункту 6.4.8 пункту 6.4 розділу 6 Правил N 3

39

Забезпечено надання вільного доступу користувачам до інформації щодо умов, пов'язаних з використанням сертифікатів відкритих ключів:

  

  

  

  

 

39.1

Положень політики сертифікації

 

 

 

 

Абзац другий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.2

Обмежень при використанні сертифіката

 

 

 

 

Абзац третій підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.3

Зобов'язань та підстав відповідальності підписувачів стосовно використання сертифіката відкритого ключа, у тому числі щодо використання надійних засобів ЕЦП

 

 

 

 

Абзац четвертий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.4

Інформації щодо порядку перевірки чинності сертифіката відкритого ключа, у тому числі умов перевірки статусу сертифіката

 

 

 

 

Абзац п'ятий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.5

Строків зберігання центром сертифікації ключів даних про підписувачів, що були отримані ним під час реєстрації

 

 

 

 

Абзац шостий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.6

Порядку розв'язання спорів

 

 

 

 

Абзац сьомий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

39.7

Підстав відповідальності акредитованого центру сертифікації ключів

 

 

 

 

Абзац дев'ятий підпункту 5.5.1 пункту 5.5 розділу 5 Правил N 3

40

Резервні копії сертифікатів та журналів аудиту програмно-технічного комплексу зберігаються в приміщенні, територіально відокремленому від приміщення акредитованого центру, із забезпеченням їх захисту від несанкціонованого доступу

 

 

 

 

Пункт 29 Порядку N 903, підпункт 6.4.6 пункту 6.4 розділу 6 Правил N 3

41

Забезпечено цілодобове надання послуг фіксування часу

 

 

 

 

Пункт 10 Порядку N 680

42

Акредитований центр сертифікації ключів під час надання послуг фіксування часу:

  

  

  

  

 

42.1

Забезпечує зберігання даних про надані послуги фіксування часу

 

 

 

 

Абзац другий пункту 9 Порядку N 680

42.2

Надає консультаційно-методичну допомогу користувачам щодо порядку надання послуг

 

 

 

 

Абзац четвертий пункту 9 Порядку N 680

43

Регламент роботи акредитованого центру сертифікації ключів, що визначає порядок та процедури обслуговування сертифікатів підписувачів, наявний та погоджений з Адміністрацією Держспецзв'язку

 

 

 

 

Пункти 3.1, 3.3 розділу 3 Правил N 3, пункт 21 Порядку N 903

____________
2 Застосовуються позначення, наведені у переліку нормативно-правових актів та нормативних документів, відповідно до яких складено перелік питань щодо проведення заходу державного нагляду (контролю).

ОПИС
виявлених порушень

N з/п

Найменування нормативно-правового акта або нормативного документа, вимоги якого порушено, із зазначенням статті (частини, пункту, абзацу тощо), висновок

Детальний опис виявленого порушення

 

 

 

ПЕРЕЛІК
питань щодо здійснення контролю за діями (бездіяльністю) посадових осіб Державної служби спеціального зв'язку та захисту інформації України3

N з/п

Питання щодо здійснення контролю

Відповіді на питання

Закон України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності"

так

ні

дотримання вимог законодавства не є обов'язковим для посадових осіб

1

2

3

4

5

6

1

Про проведення планового заходу державного нагляду (контролю) підприємство письмово попереджено не менше ніж за 10 календарних днів до його початку

 

 

 

Частина четверта статті 5

2

Посвідчення (направлення) на проведення заходу державного нагляду (контролю) та службове посвідчення, що засвідчує посадову особу органу державного нагляду (контролю), пред'явлено

 

 

 

Частина п'ята статті 7, абзац третій статті 10

3

Копію посвідчення (направлення) на проведення заходу державного нагляду (контролю) надано

 

 

 

Частина п'ята статті 7, абзаци третій і шостий статті 10

4

Перед початком проведення заходу державного нагляду (контролю) посадовими особами органу державного нагляду (контролю) внесено запис про проведення такого заходу до відповідного журналу суб'єкта господарювання (у разі його наявності)

 

 

 

Частина дванадцята статті 4

5

Під час проведення позапланового заходу державного нагляду (контролю) розглядалися лише ті питання, які стали підставою для його проведення і зазначені у направленні (посвідченні) на проведення такого заходу

 

 

 

Частина перша статті 6

____________
3 Ця частина акта заповнюється виключно керівником суб'єкта господарювання або уповноваженою ним особою.

Пояснення, зауваження або заперечення щодо проведеного заходу державного нагляду (контролю) та складеного акта перевірки

N з/п

Пояснення, зауваження або заперечення

 

 

Посадові особи органу державного нагляду (контролю):

___________________________
(найменування посад)

___________________________
(підписи)

___________________________
(ініціали та прізвища)

Керівник суб'єкта господарювання або уповноважена ним особа:

___________________________
(найменування посад)

___________________________
(підписи)

___________________________
(ініціали та прізвища)

Інші особи, які брали участь у проведенні заходу державного нагляду (контролю):

___________________________
(найменування посад)

___________________________
(підписи)

___________________________
(ініціали та прізвища)

Примірник цього акта на  сторінках отримано 

___________________________
(найменування посад)

___________________________
(підписи)

___________________________
(ініціали та прізвища)

Відмітка про відмову від підписання керівником суб'єкта господарювання або уповноваженою ним особою, іншими особами цього акта
_____________________________________________________________________________________
_____________________________________________________________________________________

ПЕРЕЛІК
нормативно-правових актів і нормативних документів, відповідно до яких складено перелік питань щодо проведення заходу державного нагляду (контролю)

N з/п

Нормативно-правовий акт або нормативний документ

Дата і номер державної реєстрації нормативно-
правового акта у Мін'юсті

Позначення

найменування

дата і номер

1

2

3

4

5

1

Закони України

1.1

Закон України "Про захист інформації в інформаційно-телекомунікаційних системах"

05.07.94 N 80/94-ВР

 

Закон N 80/94-ВР

1.2

Закон України "Про електронний цифровий підпис"

22.05.2003 N 852-IV

 

Закон N 852-IV

1.3

Закон України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності"

05.04.2007 N 877-V

 

Закон N 877-V

1.4

Закон України "Про нотаріат"

02.09.93 N 3425-XII

 

Закон N 3425-XII

2

Постанови Кабінету Міністрів України

2.1

Порядок засвідчення наявності електронного документа (електронних даних) на певний момент часу, затверджений постановою Кабінету Міністрів України

26.05.2004 N 680

 

Порядок N 680

2.2

Порядок акредитації центру сертифікації ключів, затверджений постановою Кабінету Міністрів України

13.07.2004 N 903

 

Порядок N 903

2.3

Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів України

29.03.2006 N 373

 

Правила N 373

3

Нормативно-правові акти державних органів

3.1

Правила посиленої сертифікації, затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України

13.01.2005 N 3

27.01.2005 N 104/10384

Правила N 3

3.2

Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України

16.05.2007 N 93

16.07.2007 N 820/14087

Положення N 93

3.3

Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України

20.07.2007 N 141

30.07.2007 N 862/14129

Положення N 141

3.4

Наказ Міністерства юстиції України, Адміністрації Державної служби спеціального зв'язку та захисту інформації України "Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису"

20.08.2012 N 1236/5/453

20.08.2012 N 1398/21710

Наказ N 1236/5/453

3.5

Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України "Про затвердження Вимог до форматів криптографічних повідомлень"

18.12.2012 N 739

14.01.2013 N 108/22640

Наказ N 739

 

ПЕРЕЛІК
питань, які підлягають перевірці в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності

1. Використання надійного засобу електронного цифрового підпису в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності (далі - установа).

2. Наявність посилених сертифікатів відкритих ключів і відповідність змісту сформованих сертифікатів установленим законодавством вимогам у працівників - підписувачів установи.

3. Порядок отримання послуг електронного цифрового підпису від акредитованих центрів сертифікації ключів.

4. Порядок надання працівникам установи права застосування електронного цифрового підпису, ведення обліку, зберігання та знищення їх особистих ключів, а також надання акредитованому центру сертифікації ключів інформації, необхідної для формування, скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів установи.

5. Наявність відповідального підрозділу (особи), який (яка) забезпечує застосування електронного цифрового підпису в установі.

6. Наявність положення про відповідальний підрозділ, яким визначаються функції щодо забезпечення в установі застосування електронного цифрового підпису.

7. Ведення обліку засобів електронного цифрового підпису, що використовуються в установі.

8. Надання відповідальним підрозділом допомоги підписувачам під час генерації їх особистих і відкритих ключів.

9. Порядок зберігання документів, на підставі яких було сформовано посилені сертифікати відкритих ключів.

10. Ведення обліку носіїв особистих ключів підписувачів.

11. Подання до акредитованого центру сертифікації ключів звернень про скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів.

12. Здійснення контролю відповідальним підрозділом за використанням підписувачами засобів електронного цифрового підпису та зберіганням ними особистих ключів.

____________

Опрос