13. Державний контроль за станом ТЗІ

Основним нормативно-правовим актом з державного контролю у сфері господарської діяльності є Закон україни «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».

У цьому Законі нижчезазначені терміни вживаються в такому значенні:

- державний контроль - діяльність органів державного контролю щодо виявлення та запобігання порушенням вимог законодавства суб'єктами господарювання та забезпечення інтересів суспільства;

- заходи державного контролю - планові та позапланові заходи, які здійснюються шляхом проведення перевірок, ревізій, оглядів, обстежень та інших дій;

- ризик господарської діяльності - кількісна міра небезпеки, що враховує ймовірність виникнення негативних наслідків від здійснення господарської діяльності та можливий розмір втрат від них.

Стаття 4. Загальні вимоги до здійснення державного контролю

1. Державний контроль здійснюється за місцем провадження господарської діяльності суб'єкта господарювання або його відокремлених підрозділів, або у приміщенні органу державного контролю у випадках, передбачених законом.

3. Планові та позапланові заходи контролю здійснюються в робочий час суб'єкта господарювання, встановлений правилами внутрішнього трудового розпорядку.

8. Органи державного контролю та суб'єкти господарювання мають право фіксувати процес здійснення планового або позапланового заходу чи кожну окрему дію засобами аудіо- та відеотехніки, не перешкоджаючи здійсненню такого заходу.

10. Посадові особи органу державного контролю з метою з'ясування обставин, які мають значення для повноти проведення заходу, здійснюють у межах повноважень, передбачених законом, огляд територій або приміщень, які використовуються для провадження господарської діяльності, а також будь-яких документів чи предметів, якщо це передбачено законом.

11. Плановий чи позаплановий захід контролю повинен здійснюватися у присутності керівника або його заступника, або уповноваженої особи суб'єкта господарювання.

14. Під час здійснення державного контролю посадові особи органу державного контролю зобов'язані зберігати комерційну таємницю суб'єкта господарювання. Органи державного контролю забезпечують спеціальний режим захисту та  доступу до інформації, що є комерційною таємницею, згідно з вимогами закону.

Стаття 5. Планові заходи зі здійснення державного контролю

2. Орган державного контролю визначає у віднесеній до його відання сфері критерії, за якими оцінюється ступінь ризику від здійснення господарської діяльності. З урахуванням значення прийнятного ризику всі суб'єкти господарювання, що підлягають контролю, відносяться до одного з трьох ступенів ризику: з високим, середнім та незначним.      

Залежно від ступеня ризику органом державного контролю визначається періодичність та переліки питань для здійснення планових заходів, які затверджуються його наказом. У межах переліку питань кожен орган державного контролю залежно від цілей заходу має визначити ті питання, щодо яких буде здійснюватися державний контроль.

Уніфіковані форми актів, в яких передбачається перелік питань залежно від ступеня ризику, затверджуються органом державного контролю і публікуються в мережі Інтернет у порядку, визначеному законодавством. Орган державного контролю оприлюднює критерії та періодичність проведення планових заходів із здійснення державного контролю шляхом розміщення інформації в мережі Інтернет у порядку, визначеному законодавством.

4. Органи державного контролю здійснюють плановий захід контролю за умови письмового повідомлення суб'єкта господарювання про його проведення не пізніш як за 10 днів до дня здійснення цього заходу. Повідомлення надсилається рекомендованим листом чи телефонограмою за рахунок коштів органу державного контролю або вручається особисто керівнику чи уповноваженій особі суб'єкта господарювання під розписку.

Суб'єкт господарювання має право не допускати посадову особу органу державного контролю до здійснення планового заходу в разі неодержання повідомлення про здійснення планового заходу.

5. Строк здійснення планового заходу не може перевищувати 15 робочих днів, а для суб'єктів малого підприємництва - 5 робочих днів, якщо інше не передбачено законом. Продовження строку здійснення планового заходу не допускається.

Стаття 7. Розпорядчі документи органів державного контролю

1. Для здійснення планового або позапланового заходу орган державного контролю повинен видати наказ, який має містити найменування суб'єкта господарювання, щодо якого буде здійснюватися захід, та предмет перевірки.

2. На підставі наказу оформляється направлення (посвідчення) на проведення заходу,  яке підписується керівником або заступником керівника органу державного контролю (із зазначенням прізвища, ім'я та по батькові) і засвідчується печаткою.

4. Направлення (посвідчення) є чинним лише протягом зазначеного в ньому строку здійснення заходу.

5. Перед початком здійснення заходу посадові особи органу державного контролю зобов'язані пред'явити керівнику суб'єкта господарювання або уповноваженій  ним особі направлення на проведення заходу та службове посвідчення, що засвідчує посадову особу органу державного контролю, і надати суб'єкту господарювання копію направлення (посвідчення).

Посадова особа органу державного контролю без направлення на проведення заходу та службового посвідчення не має права здійснювати державний контроль суб'єкта господарювання. Суб'єкт господарювання має право не допускати посадових осіб органу державного  контролю до здійснення заходу, якщо вони не пред'явили документів, передбачених цією статтею.

6. За результатами здійснення планового або позапланового заходу посадова особа органу державного контролю, у разі виявлення порушень вимог законодавства, складає акт перевірки. В останній день перевірки два примірники акта підписуються посадовими  особами органу державного контролю, які здійснювали захід, та суб'єктом господарювання або уповноваженою ним особою, якщо інше не передбачено законом.

Якщо суб'єкт господарювання не погоджується з актом, він підписує акт із зауваженнями. Зауваження суб'єкта господарювання щодо здійснення державного контролю є невід'ємною частиною акта органу державного контролю.

У разі відмови суб'єкта господарювання підписати акт посадова особа органу державного контролю вносить до такого акта відповідний запис. Один примірник акта вручається суб'єкту господарювання або уповноваженій ним особі, а другий - зберігається в органі державного контролю.

7. На підставі акта, складеного за результатами здійснення заходу, в ході якого виявлено порушення вимог законодавства, орган державного контролю за наявності підстав для повного або часткового зупинення виробництва (виготовлення), реалізації продукції, виконання робіт, надання послуг звертається у порядку та строки, встановлені законом, з відповідним позовом до адміністративного суду.

У разі необхідності вжиття інших заходів реагування орган державного контролю протягом 5 робочих днів з дня завершення здійснення заходу державного контролю складає припис, розпорядження, інший розпорядчий документ щодо усунення порушень, виявлених під час здійснення заходу, а у випадках, передбачених законом, також звертається у порядку та строки, встановлені законом, до адміністративного суду з позовом щодо підтвердження обґрунтованості вжиття до суб'єкта господарювання заходів реагування, передбачених відповідним розпорядчим документом.

Стаття 12. Невиконання приписів, розпоряджень або інших розпорядчих документів щодо усунення порушень вимог законодавства, виявлених під час здійснення заходу державного контролю, тягне за собою застосування до суб'єкта господарювання штрафних санкцій у порядку, встановленому законом.

Стаття 21. Суб'єкт господарювання має право звернутися до відповідного центрального органу виконавчої влади або до суду щодо оскарження рішень органів державного контролю. У разі надходження такого звернення суб'єкта господарювання відповідний   центральний орган виконавчої влади зобов'язаний розглянути його в установленому законом порядку.

Стаття 22. Якщо не затверджені критерії розподілу суб'єктів господарювання за ступенями ризику їх господарської діяльності, періодичність проведення планових заходів та перелік питань для їх здійснення, то такі суб'єкти господарювання вважаються суб'єктами господарювання з незначним ступенем ризику та підлягають державному контролю не частіше одного разу на 5 років.

22 серпня 2012 року постановою Кабінету Міністрів України  № 791 були затверджені «Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у галузях криптографічного та технічного захисту інформації та визначається періодичність здійснення планових заходів державного нагляду (контролю)» (далі - Критерії), згідно яких були встановлені 3 ступені ризику - високий, середній і незначний.

Згідно п.3 Критеріїв до суб'єктів господарювання з високим ступенем ризику належать суб'єкти, що відповідають (у сукупності) таким умовам:

- які мають право на провадження ліцензованого виду господарської діяльності з криптографічного та (або) технічного захисту інформації, що становить державну таємницю;

- в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю);

- в яких строк провадження ліцензованого виду господарської діяльності становить менш як три роки.

Згідно п.4 Критеріїв до суб'єктів господарювання із середнім ступенем ризику належать суб'єкти, що відповідають таким умовам:

- які мають право на провадження ліцензованого виду господарської діяльності з криптографічного та (або) технічного захисту інформації, що становить державну таємницю, та в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованого виду господарської діяльності становить більш як 3 роки або в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованого виду господарської діяльності;

- які мають право на провадження ліцензованого виду господарської діяльності з криптографічного та (або) технічного захисту інформації, що не становить державної таємниці, та в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) незалежно від строку провадження ліцензованого виду господарської діяльності або в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю) і строк провадження ліцензованого виду господарської діяльності становить менш як 5 років.

Згідно п.5 Критеріїв до суб'єктів господарювання з незначним ступенем ризику належать суб’єкти, що відповідають (у сукупності) таким умовам:

- які мають право на провадження ліцензованого виду господарської діяльності щодо захисту інформації, що не становить державної таємниці;

- в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного нагляду (контролю);

- в яких строк провадження ліцензованого виду господарської діяльності становить більш як 5 років.

6. Планові заходи, пов'язані з державним наглядом (контролем) за діяльністю суб'єктів господарювання у ліцензованих видах господарської діяльності, здійснюються з такою періодичністю:
- з високим ступенем ризику - не частіше ніж 1 раз на рік;
- з середнім ступенем ризику - не частіше ніж 1 раз на 3 роки;
- з незначним ступенем ризику - не частіше ніж 1 раз на 5 років.

16 травня 2007 року наказом Адміністрації Держспецзв'язку № 87 було затверджене «Положення про державний контроль за станом ТЗІ», згідно якого державний контроль за станом ТЗІ полягає в перевірці виконання вимог НД ТЗІ та здійснюється з метою визначення стану ТЗІ в організаціях, виявлення порушень з ТЗІ та запобігання їм. Він здійснюється Держспецзв'язку шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ.

Організація проведення перевірок стану ТЗІ

Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) та контрольні.  Зазначені перевірки можуть бути плановими та позаплановими. При комплексній перевірці визначається відповідність комплексу ТЗІ (КСЗІ) та НД ТЗІ. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам  нормативних документів системи ТЗІ.

При  контрольній перевірці перевіряється повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться за потреби, як правило, після отримання повідомлення про усунення недоліків. Планові перевірки здійснюються згідно з річним планом контрольно-інспекторської роботи з питань ТЗІ, затвердженим Головою Держспецзв'язку.

Позапланові перевірки здійснюються у разі наявності відомостей щодо порушень виконання вимог НД ТЗІ або з метою визначення повноти та достатності вжитих заходів з ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження.

Керівництву органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж за 10 діб до її початку (за винятком проведення позапланової перевірки). Підставою для допуску посадових осіб Держспецзв'язку до перевірки стану ТЗІ є наявність припису на право проведення перевірки за підписом начальника регіонального    органу Держспецзв'язку.

Порядок проведення перевірок стану ТЗІ

Для проведення перевірки стану ТЗІ посадові особи Держспецзв'язку повинні пред'явити керівнику або вповноваженому представнику організації припис на право проведення перевірки та службові посвідчення. За результатами перевірок посадовими особами Держспецзв'язку, які їх здійснювали, складаються акти перевірок стану ТЗІ.

Акт підписується посадовими особами Держспецзв'язку, якими проводилася перевірка, та затверджуються начальником регіонального органу Держспецзв'язку, який підписав припис на проведення перевірки. Ознайомлення керівника органу, щодо якого здійснюється ТЗІ, з актом здійснюється за його підписом.

У разі відмови керівника організації засвідчити факт ознайомлення з актом перевірки своїм підписом, посадовими особами Держспецзв'язку, що здійснювали перевірку, робиться в акті відповідний запис.

Кваліфікація порушень з ТЗІ

Порушення вимог з ТЗІ поділяються на 3 категорії, які визначають можливість реалізації загроз безпеці інформації:

1-а категорія - невиконання вимог НД ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, цілісності та доступності інформації;

2-а категорія - невиконання вимог НД ТЗІ, унаслідок чого створюються передумови до порушення конфіденційності, цілісності та доступності інформації;

3-я категорія - невиконання інших вимог з ТЗІ.

Порушення 1-ї категорії кваліфікується у разі встановлення такого факту:

- циркуляції ІзОД в ІТС за умов підтвердження інструментально-розрахунковими методами наявності технічного каналу поширення ІзОД;

- обробки ІзОД в ІТС, які мають вихід незахищеними каналами зв'язку за межі контрольованої зони, за умов відсутності атестата відповідності на КСЗІ;

- обробки ІзОД в ІТС, які не мають виходу за межі контрольованої зони, за умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації), та відсутності атестата відповідності КСЗІ;

- обробки відкритої інформації, що є власністю держави, вимога щодо захисту якої встановлена законом, в ІТС, які мають підключення до мереж телекомунікацій (у тому числі загального користування), за умов відсутності атестата відповідності КСЗІ;

- несанкціонованого доступу користувачів ІТС до інформації, що є власністю держави, або ІзОД шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту.

Порушення 2-ї категорії кваліфікується у разі встановлення такого факту:

- циркуляції ІзОД в ІТС за умов відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам з ТЗІ;

- обробки ІзОД в ІТС, які мають вихід за межі контрольованої зони захищеними каналами, за умов відсутності атестата відповідності КСЗІ;

- обробки інформації, що є власністю держави, або ІзОД в ІТС, які не мають виходу за межі контрольованої зони, за умов відсутності атестата відповідності КСЗІ.

Невиконання вимог нормативно-правових актів щодо впровадження організаційних заходів з ТЗІ, а також інших норм та вимог у сфері захисту інформації, які не призводять до порушень 1-ї або 2-ї категорії, кваліфікується як порушення 3-ї категорії.

Для з'ясування причин, які призвели до порушень 1-ї категорії, а також притягнення осіб, які їх вчинили, до відповідальності посадові особи Держспецзв'язку, що здійснювали перевірку, ініціюють проведення службових розслідувань. У разі виявлення порушень 1-ї або 2-ї категорії вони у встановленому порядку можуть порушувати питання про припинення інформаційної діяльності на відповідних об'єктах.

З метою приведення стану ТЗІ у відповідність до вимог НД ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівниками органів, щодо яких здійснюється ТЗІ, у місячний термін після отримання акта перевірки затверджується план усунення недоліків, один примірник якого надсилається до органу Держспецзв'язку, посадовими особами якого було здійснено перевірку.

Повідомлення про виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог НД ТЗІ надсилається керівнику органу Держспецзв'язку у терміни, зазначені в акті перевірки та плані усунення недоліків.

24 липня 2007 року наказом Адміністрації Держспецзв'язку № 143, зареєстрованим в Міністерстві юстиції України 8 серпня 2007 року за № 914/14181, було затверджено «Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг ЕЦП», який визначає такі особливі вимоги:

Функції органу контролю у сфері надання послуг ЕЦП здійснює Адміністрація Держспецзв'язку. Контроль за діяльністю державних установ щодо дотримання вимог законодавства у сфері ЕЦП здійснюється шляхом погодження проектів нормативно-правових актів, що визначають порядок застосування ЕЦП державною установою.

Строк здійснення планової перевірки не може перевищувати 15 робочих днів, а позапланової - 10 робочих днів. Продовження строку здійснення позапланової перевірки не допускається. Перевірки організовуються таким чином, щоб не порушувати режим роботи суб'єкта перевірки.

Орган контролю у разі виявлення порушень законодавства у сфері ЕЦП не пізніше 5 робочих днів з дати складання акта перевірки видає припис про усунення порушень. Суб'єкт перевірки зобов'язаний у встановлений в приписі термін письмово подати органу контролю інформацію про усунення порушень разом з документами, що це підтверджують.

У разі встановлення за результатами проведеної перевірки ЦСК фактів (ознак) компрометації особистого ключа порушення вимог законодавства у сфері послуг ЕЦП, не усунених за встановлений у приписі термін, недостовірних даних, зазначених у сертифікаті ключа, органом контролю розглядаються надані матеріали та відповідно до статті 12 Закону України «Про ЕЦП» вирішуються питання щодо видання розпорядження ЦЗО про застосування заходів стосовно суб'єкта перевірки відповідно до закону.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика