14. Нормативно-правові акти з державного контролю сфери інформаційної безпеки

Згідно Закону України «Про Уповноваженого Верховної Ради України з прав людини» (далі - Уповноважений) він на постійній основі здійснює парламентський контроль за додержанням конституційних прав і свобод людини і громадянина та захист прав кожного на території України та в межах її юрисдикції.

Згідно статті 13 Закону Уповноважений має право перевіряти стан додержання встановлених прав і свобод людини і громадянина відповідними державними органами, в тому числі тими, що здійснюють оперативно-розшукову діяльність.

Згідно статті 14 Закону Уповноважений здійснює парламентський контроль за дотриманням права на доступ до публічної інформації.

Згідно статті 17 Закону України «Про доступ до публічної інформації» парламентський контроль за дотриманням права людини на доступ до інформації здійснюється Уповноваженим, тимчасовими слідчими комісіями Верховної Ради України, народними депутатами України.

Згідно статті 22 Закону України «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) Уповноважений; 2) суди.

8 січня 2014 року наказом Уповноваженого Верховної Ради України з прав людини№ 1/02-14 був затверджений «Порядок здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних» (далі - Порядок).

Згідно п.2.1 Порядку контроль за додержанням суб'єктами перевірки законодавства про захист персональних даних здійснюється Уповноваженим та/або уповноваженими ним посадовими особами шляхом проведення перевірок: планових, позапланових, виїзних та безвиїзних. Планові та позапланові перевірки можуть бути виїзними та безвиїзними.

Предметом перевірки є додержання суб'єктом перевірки під час здійснення обробки персональних даних вимог Конституції України, Закону України «Про захист персональних даних» і Типового порядку обробки персональних даних.

Згідно статті 37 Закону України «Про державну таємницю» СБУ має право контролювати стан охорони державної таємниці в усіх державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, а також у зв'язку з виконанням цих повноважень одержувати безоплатно від них інформацію з питань забезпечення охорони державної таємниці.

Згідно п.108 «Типової інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію», затвердженої постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736 (далі - Інструкція), стан організації роботи з документами, що містять службову інформацію (наявність та фізичний стан документів, справ, видань, електронних носіїв інформації з грифом «Для службового користування»), не рідше ніж один раз на рік перевіряється комісією з питань проведення перевірки наявності документів з грифом «Для службового користування» після завершення діловодного року та формування справ.

Згідно п.110 Інструкції у разі втрати документа, що містить службову інформацію, письмово повідомляється установі, від якої цей документ отримано. Про втрату документа, що містить службову інформацію, зібрану під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, або можливе розголошення такої службової інформації повідомляється також органові СБУ із зазначенням обставин втрати документа (розголошення відомостей) та про вжиті заходи.

У разі втрати, відсутності відомостей про місцезнаходження або виникнення підозри про можливий доступ сторонніх осіб до інформації або документа, яким надана відмітка «Літер “К”», засобів криптографічного захисту службової інформації, технічної (експлуатаційної) документації, ключових даних невідкладно письмово інформується Адміністрація Держспецзв’язку.

Згідно п.1 Указу Президента України13 квітня 2001 року № 256 «Про впорядкування виготовлення, придбання та застосування технічних засобів для зняття інформації з каналів зв'язку» забезпечення державного контролю у цій сфері здійснює СБУ.

Згідно п.29 статті 14 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» на Держспецзв'язку покладається здійснення державного контролю за:

- станом захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, у державних органах, органах місцевого самоврядування, військових формуваннях, утворених відповідно до законів України, на підприємствах, в установах і організаціях незалежно від форми власності, в тому числі в закордонних дипломатичних установах України, національних контингентах за кордоном, місцях постійного і тимчасового перебування Президента України, Голови Верховної Ради України та Прем'єр-міністра України, а також під час діяльності на території України іноземних інспекційних груп відповідно до міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України;

- додержанням вимог законодавства, а також вимог нормативних документів у сфері надання послуг електронного цифрового підпису;

- станом протидії технічним розвідкам у державних органах, військових формуваннях, утворених відповідно до законів України, на підприємствах, в установах і організаціях незалежно від їх підпорядкування та форми власності, які мають у своєму володінні, користуванні чи розпорядженні зразки озброєння, військової та спеціальної техніки, об'єкти оборонно-промислового комплексу, військові об'єкти та інші об'єкти, призначені для застосування в інтересах оборони і безпеки держави;

- додержанням вимог безпеки під час розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, проведення тематичних досліджень, експертизи, вивезення та знищення криптографічних систем і засобів криптографічного захисту інформації та обладнання спеціального зв'язку, що мають гриф обмеження доступу.

Основним нормативно-правовим актом з державного контролю у сфері господарської діяльності є Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».

У цьому Законі нижчезазначені терміни вживаються в такому значенні:
- державний контроль - діяльність органів державного контролю щодо виявлення та запобігання порушенням вимог законодавства суб'єктами господарювання та забезпечення інтересів суспільства;
- заходи державного контролю - планові та позапланові заходи, які здійснюються шляхом проведення перевірок, ревізій, оглядів, обстежень та інших дій;
- ризик господарської діяльності - кількісна міра небезпеки, що враховує ймовірність виникнення негативних наслідків від здійснення господарської діяльності та можливий розмір втрат від них.

Стаття 4. Загальні вимоги до здійснення державного контролю

1. Державний контроль здійснюється за місцем провадження господарської діяльності суб'єкта господарювання або його відокремлених підрозділів, або у приміщенні органу державного контролю у випадках, передбачених законом.

3. Планові та позапланові заходи контролю здійснюються в робочий час суб'єкта господарювання, встановлений правилами внутрішнього трудового розпорядку.

8. Органи державного контролю та суб'єкти господарювання мають право фіксувати процес здійснення планового або позапланового заходу чи кожну окрему дію засобами аудіо- та відеотехніки, не перешкоджаючи здійсненню такого заходу.

10. Посадові особи органу державного контролю з метою з'ясування обставин, які мають значення для повноти проведення заходу, здійснюють у межах повноважень, передбачених законом, огляд територій або приміщень, які використовуються для провадження господарської діяльності, а також будь-яких документів чи предметів, якщо це передбачено законом.

11. Плановий чи позаплановий захід контролю повинен здійснюватися у присутності керівника або його заступника, або уповноваженої особи суб'єкта господарювання.

14. Під час здійснення державного контролю посадові особи органу державного контролю зобов'язані зберігати комерційну таємницю суб'єкта господарювання.

Органи державного контролю забезпечують спеціальний режим захисту та доступу до інформації, що є комерційною таємницею, згідно з вимогами закону.

Стаття 5. Планові заходи зі здійснення державного контролю

2. Орган державного контролю визначає у віднесеній до його відання сфері критерії, за якими оцінюється ступінь ризику від здійснення господарської діяльності.

З урахуванням значення прийнятного ризику всі суб'єкти господарювання, що підлягають контролю, відносяться до одного з трьох ступенів ризику: з високим, середнім та незначним.

Залежно від ступеня ризику органом державного контролю визначається періодичність та переліки питань для здійснення планових заходів, які затверджуються його наказом.

У межах переліку питань кожен орган державного контролю залежно від цілей заходу має визначити ті питання, щодо яких буде здійснюватися державний контроль.

Уніфіковані форми актів, в яких передбачається перелік питань залежно від ступеня ризику, затверджуються органом державного контролю і публікуються в мережі Інтернет у порядку, визначеному законодавством.

Орган державного контролю оприлюднює критерії та періодичність проведення планових заходів із здійснення державного контролю шляхом розміщення інформації в мережі Інтернет у порядку, визначеному законодавством.

4. Органи державного контролю здійснюють плановий захід контролю за умови письмового повідомлення суб'єкта господарювання про його проведення не пізніш як за десять днів до дня здійснення цього заходу.

Повідомлення надсилається рекомендованим листом чи телефонограмою за рахунок коштів органу державного контролю або вручається особисто керівнику чи уповноваженій особі суб'єкта господарювання під розписку.

Суб'єкт господарювання має право не допускати посадову особу органу державного контролю до здійснення планового заходу в разі неодержання повідомлення про здійснення планового заходу.

5. Строк здійснення планового заходу не може перевищувати 15 робочих днів, а для суб'єктів малого підприємництва - 5 робочих днів, якщо інше не передбачено законом. Продовження строку здійснення планового заходу не допускається.

Стаття 7. Розпорядчі документи органів державного контролю

1. Для здійснення планового або позапланового заходу орган державного контролю повинен видати наказ, який має містити найменування суб'єкта господарювання, щодо якого буде здійснюватися захід, та предмет перевірки.

2. На підставі наказу оформляється направлення (посвідчення) на проведення заходу, яке підписується керівником або заступником керівника органу державного контролю (із зазначенням прізвища, ім'я та по батькові) і засвідчується печаткою.

4. Направлення (посвідчення) є чинним лише протягом зазначеного в ньому строку здійснення заходу.

5. Перед початком здійснення заходу посадові особи органу державного контролю зобов'язані пред'явити керівнику суб'єкта господарювання або уповноваженій ним особі направлення на проведення заходу та службове посвідчення, що засвідчує посадову особу органу державного контролю, і надати суб'єкту господарювання копію направлення (посвідчення).

Посадова особа органу державного контролю без направлення на проведення заходу та службового посвідчення не має права здійснювати державний контроль суб'єкта господарювання.

Суб'єкт господарювання має право не допускати посадових осіб органу державного контролю до здійснення заходу, якщо вони не пред'явили документів, передбачених цією статтею.

6. За результатами здійснення планового або позапланового заходу посадова особа органу державного контролю, у разі виявлення порушень вимог законодавства, складає акт перевірки. В останній день перевірки два примірники акта підписуються посадовими особами органу державного контролю, які здійснювали захід, та суб'єктом господарювання або уповноваженою ним особою, якщо інше не передбачено законом.

Якщо суб'єкт господарювання не погоджується з актом, він підписує акт із зауваженнями. Зауваження суб'єкта господарювання щодо здійснення державного контролю є невід'ємною частиною акта органу державного контролю. У разі відмови суб'єкта господарювання підписати акт посадова особа органу державного контролю вносить до такого акта відповідний запис.

Один примірник акта вручається  суб'єкту господарювання або уповноваженій ним особі, а другий - зберігається в органі державного контролю.

7. На підставі акта, складеного за результатами здійснення заходу, в ході якого виявлено порушення вимог законодавства, орган державного контролю за наявності підстав для повного або часткового зупинення виробництва (виготовлення), реалізації продукції, виконання робіт, надання послуг звертається у порядку та строки, встановлені законом, з відповідним позовом до адміністративного суду.

У разі необхідності вжиття інших заходів реагування орган державного контролю протягом 5 робочих днів з дня завершення здійснення заходу державного контролю складає припис, розпорядження, інший розпорядчий документ щодо усунення порушень, виявлених під час здійснення заходу, а у випадках, передбачених законом, також звертається у порядку та строки, встановлені законом, до адміністративного суду з позовом щодо підтвердження обґрунтованості вжиття до суб'єкта господарювання заходів реагування, передбачених відповідним розпорядчим документом.

Стаття 12. Невиконання приписів, розпоряджень або інших розпорядчих документів щодо усунення порушень вимог законодавства, виявлених під час здійснення заходу державного контролю, тягне за собою застосування до суб'єкта господарювання штрафних санкцій у порядку, встановленому законом.

Стаття 21. Суб'єкт господарювання має право звернутися до відповідного центрального органу виконавчої влади або до суду щодо оскарження рішень органів державного контролю. У разі надходження такого звернення суб'єкта господарювання відповідний центральний орган виконавчої влади зобов'язаний розглянути його в установленому законом порядку.

Стаття 22. Якщо не затверджені критерії розподілу суб'єктів господарювання за ступенями ризику їх господарської діяльності, періодичність проведення планових заходів та перелік питань для їх здійснення, то такі суб'єкти господарювання вважаються суб'єктами господарювання з незначним ступенем ризику та підлягають державному контролю не частіше одного разу на 5 років.

Головним органом в системі центральних органів виконавчої влади України, що забезпечує формування державної політики з питань нагляду (контролю) у сфері господарської діяльності, є Міністерство економічного розвитку і торгівлі України (далі - Мінекономрозвитку). Воно здійснює свою діяльність згідно «Положення про Мінекономрозвитку» (далі - Положення), затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 459. Офіційний сайт Мінекономрозвитку знаходиться тут.

Центральним органом виконавчої влади, який реалізує державну політику з питань нагляду (контролю) у сфері господарської діяльності, є Державна регуляторна служба України (далі - ДРС). Вона здійснює свою діяльність згідно «Положення про ДРС» (далі - Положення), затвердженого постановою Кабінету Міністрів України від 24 грудня 2014 року № 724. Офіційний сайт ДРС знаходиться тут.

Згідно п.4 Положення ДРС відповідно до покладених на неї завдань:
4) здійснює заходи щодо оптимізації кількості функцій державного контролю у сфері господарської діяльності, які виконуються органами виконавчої влади, вносить в установленому порядку пропозиції щодо їх скорочення та усунення дублювання;
7) погоджує проекти нормативно-правових актів з питань контролю у сфері господарської діяльності, що розробляються центральними органами виконавчої влади;
19) узагальнює практику застосування законодавства з питань державного контролю у сфері господарської діяльності;
20) інформує Кабінет Міністрів України про стан виконання органами виконавчої влади вимог Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».

Закон України «Про телебачення і радіомовлення» (далі - Закон) визначає порядок контролю та нагляду за дотриманням законодавства телерадіоорганізаціями та провайдерами програмної послуги Національною радою з питань телебачення і радіомовлення (далі - НРТР).

Згідно статті 70 Закону НРТР здійснює контроль за дотриманням та забезпечує виконання вимог:
- законодавства України у сфері телебачення і радіомовлення;
- Закону України «Про рекламу» щодо спонсорства і порядку розповсюдження реклами на телебаченні і радіомовленні;
- законодавства про захист суспільної моралі;
- законодавства про кінематографію щодо квоти демонстрування національних фільмів;
- законодавства про вибори.

Згідно статті 72 Закону НРТР може застосовувати до телерадіоорганізацій та провайдерів програмної послуги  такі санкції:
- оголошення попередження;
- стягнення штрафу;
- подання до суду справи про анулювання ліцензії на мовлення.

Якщо порушення не були усунені  після попередження та стягнення штрафу, НРТР подає до суду справу про анулювання ліцензії на мовлення телерадіоорганізації або справу про скасування державної реєстрації провайдера програмної послуги.

Згідно статті 74 Закону за результатами розгляду питання про порушення ліцензіатом законодавства або умов ліцензії НРТР приймає рішення про:
а) визнання порушення і застосування передбачених цим Законом санкцій;
б) проведення додаткової перевірки;
в) відсутність фактів порушення.

Копія рішення протягом 10 днів вручається або надсилається ліцензіату.

Згідно статті 75 Закону рішення НРТР про застосування санкції, де вказується термін усунення порушення, вручається або надсилається керівнику ліцензіата. У разі застосування санкції у вигляді штрафу ліцензіат зобов'язаний сплатити штраф у 30-денний термін з дня отримання рішення про накладення штрафу.

За кожен день прострочення сплати нараховується пеня у розмірі одного відсотка суми штрафу. У разі відмови ліцензіатом від сплати штрафу штраф стягується за рішенням суду. Ліцензіат зобов'язаний надати НРТР документальне підтвердження факту сплати штрафу (копію платіжного доручення) протягом 5 днів з моменту сплати.

Крім того, згідно статті 13 Закону України «Про Національну раду України з питань телебачення і радіомовлення» НРТР здійснює:
- нагляд за дотриманням телерадіоорганізаціями та провайдерами програмної послуги вимог законодавства у галузі телерадіомовлення;
- нагляд за дотриманням ліцензіатами ліцензійних умов та умов ліцензій;
- нагляд за дотриманням стандартів та норм технічної якості телерадіопрограм;
- нагляд за дотриманням телерадіоорганізаціями законодавства України у сфері кінематографії;
- нагляд за дотриманням телерадіоорганізаціями вимог законодавства України щодо частки вітчизняного продукту у їх програмах (передачах) та щодо вживання мов при здійсненні телерадіомовлення;
- нагляд за дотриманням телерадіоорганізаціями законодавства у сфері захисту суспільної моралі;
- офіційний моніторинг телерадіопрограм.

8 лютого 2012 року рішенням НРТР № 115, зареєстрованим в Міністерстві юстиції України 24 лютого 2012 року за № 313/20626, була затверджена «Інструкція про порядок здійснення перевірок телерадіоорганізацій та провайдерів програмної послуги, оформлення матеріалів про адміністративні правопорушення та про порушення законодавства про рекламу», яка визначає такі вимоги:

2.1. НРТР здійснює наглядові повноваження шляхом проведення планових і позапланових перевірок діяльності ліцензіатів.

2.6. На підставі рішення та наказу оформлюється посвідчення на проведення перевірки, яке підписується головою НРТР і засвідчується печаткою.

2.10. Про проведення перевірок НРТР повідомляє ліцензіата письмово рекомендованим листом чи телефонограмою за місцезнаходженням ліцензіата або шляхом безпосереднього вручення письмового повідомлення працівником НРТР особисто керівнику чи уповноваженій особі ліцензіата під розписку не пізніше ніж за 10 днів до дати початку проведення планової перевірки та за 5 днів до дати початку проведення позапланової перевірки.

2.11. Строк здійснення планової перевірки не може перевищувати 15 робочих днів, а для суб'єктів малого підприємництва - 5 робочих днів.

Строк здійснення позапланової перевірки не може перевищувати 10 робочих днів, а для суб'єктів малого підприємництва - 2 робочих днів.

Продовження строку здійснення планових та позапланових перевірок не допускається.

Закон України «Про телекомунікації» (далі - Закон) визначає порядок державного нагляду за додержанням вимог законодавства про телекомунікації Національною комісією, що здійснює державне регулювання у сфері зв'язку та інформатизації (далі - НКРЗІ).

Згідно статті 19-1 Закону державний нагляд за ринком телекомунікацій здійснюється шляхом проведення планових і позапланових перевірок, інших заходів відповідно до законодавства, спрямованих на запобігання, виявлення та усунення порушень законодавства суб'єктами ринку телекомунікацій.

Планові перевірки суб'єктів ринку телекомунікацій, їх відокремлених підрозділів проводяться не частіше ніж один раз на 3 роки відповідно до планів, що затверджуються НКРЗІ. За результатами перевірок складається акт у двох примірниках. Один примірник акта видається суб'єкту ринку телекомунікацій, який перевірявся, другий зберігається в НКРЗІ.

Оператор, провайдер телекомунікацій, який одержав припис уповноваженої НКРЗІ посадової особи про усунення порушень законодавства про телекомунікації, зобов'язаний у встановлений у приписі строк усунути порушення та подати НКРЗІ інформацію у письмовій формі про їх усунення.

Закон України «Про радіочастотний ресурс України» (далі - Закон) визначає порядок державного нагляду НКРЗІ за користуванням радіочастотним ресурсом.

Згідно статті 18 Закону планові перевірки проводяться не частіше ніж один раз на 3 роки відповідно до планів, що затверджуються НКРЗІ.

Користувач радіочастотного ресурсу, який одержав розпорядження або припис посадової особи НКРЗІ про усунення порушень законодавства про радіочастотний ресурс України, зобов'язаний у встановлений у розпорядженні чи приписі строк усунути порушення та подати НКРЗІ інформацію у письмовій формі про їх усунення.

Згідно п.4.10 «Положення про НКРЗІ», затвердженого Указом Президента України від 23 листопада 2011 року № 1067, НКРЗІ відповідно до покладених на неї завдань забезпечує державний нагляд (контроль) за:

а) додержанням суб`єктами ринку законодавства про телекомунікації, інформатизацію та поштовий зв'язок;

б) додержанням законодавства про радіочастотний ресурс України та запобігання правопорушенням при користуванні радіочастотним ресурсом України у смугах радіочастот загального користування;

в) додержанням операторами, провайдерами телекомунікацій, користувачами радіочастотного ресурсу ліцензійних умов, особливих умов, визначених у відповідних ліцензіях, та Правил здійснення діяльності у сфері телекомунікацій;

д) додержанням операторами, провайдерами телекомунікацій установлених показників якості надання телекомунікаційних послуг;

ж) додержанням виробниками, постачальниками технічних засобів телекомунікацій, а також операторами, провайдерами телекомунікацій вимог нормативно-правових актів та нормативних документів у сфері телекомунікацій, інформатизації та користування радіочастотним ресурсом;

і) додержанням операторами, провайдерами телекомунікацій умов використання номерного ресурсу;

ї) додержанням операторами поштового зв`язку вимог нормативно-правових актів та нормативних документів щодо застосування засобів поштового зв`язку;

л) наявністю ліцензій та інших дозвільних документів, передбачених законами у сфері телекомунікацій, інформатизації, користування радіочастотним ресурсом та поштового зв'язку.

13 грудня 2012 року рішенням НКРЗІ № 649, зареєстрованим в Міністерстві юстиції України 10 січня 2013 року за № 92/22624, був затверджений «Порядок здійснення державного нагляду за ринком телекомунікацій».

27 грудня 2012 року рішенням НКРЗІ № 684, зареєстрованим в Міністерстві юстиції України 22 січня 2013 року за № 175/22707, був затверджений «Порядок здійснення державного нагляду за користуванням радіочастотним ресурсом України в смугах радіочастот загального користування».

Згідно обох Порядків державний нагляд за користуванням радіочастотного ресурсу та ринком телекомунікацій здійснюється шляхом проведення планових і позапланових перевірок, здійснення інших заходів відповідно до законодавства, спрямованих на запобігання, виявлення та усунення порушень законодавства у цих сферах.

Планові перевірки суб'єктів нагляду здійснюються не частіше ніж 1 раз на 3 роки. Строк проведення планової перевірки суб'єктів нагляду не повинен перевищувати 25 робочих днів, а позапланової - 10 робочих днів.

На підставі наказу Голови НКРЗІ про проведення планової перевірки (рішення НКРЗІ про проведення позапланової перевірки) оформляється посвідчення, яке підписується Головою НКРЗІ та засвідчується печаткою НКРЗІ. Про проведення позапланової перевірки суб'єкт нагляду та його відокремлені підрозділи повідомляються безпосередньо перед її початком.

У разі перешкоджання суб'єктом ринку телекомунікацій, його відокремленим підрозділом комісії у здійсненні перевірки комісія у двох примірниках складає акт про чинення перешкод, які не дають право здійснити перевірку в повному обсязі. У разі виявлення за результатами перевірки фактів вчинення адміністративного правопорушення уповноважені НКРЗІ посадові особи складають протокол про адміністративне правопорушення.

З метою вжиття заходів щодо усунення виявлених під час перевірки суб'єкта нагляду порушень вимог законодавства, у тому числі порушень ліцензійних умов, на підставі акта перевірки складається розпорядження про усунення порушень умов ліцензії або розпорядження (припис) про усунення порушень законодавства.

Суб'єкт ринку телекомунікацій, який одержав розпорядження про усунення порушень ліцензійних умов або припис про усунення порушень законодавства, зобов'язаний у встановлений у розпорядженні чи приписі строк усунути порушення та подати НКРЗІ інформацію у письмовій формі про їх усунення.

З метою перевірки виконання вимог розпоряджень НКРЗІ чи приписів уповноважених НКРЗІ посадових осіб про усунення виявлених порушень, НКРЗІ може провести позапланову перевірку.

22 серпня 2012 року постановою Кабінету Міністрів України № 791 були затверджені «Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у галузях криптографічного та технічного захисту інформації та визначається періодичність здійснення планових заходів державного нагляду (контролю)» (далі - Критерії), згідно яких були встановлені 3 ступені ризику - високий, середній і незначний.

Згідно п.3 Критеріїв до суб'єктів господарювання з високим ступенем ризику належать суб'єкти, що відповідають (у сукупності) таким умовам:
- які мають право на провадження ліцензованого виду господарської діяльності із захисту інформації, що становить державну таємницю;
- в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього заходу державного контролю;
- в яких строк провадження ліцензованого виду господарської діяльності становить менш як 3 роки.

Згідно п.4 Критеріїв до суб'єктів господарювання із середнім ступенем ризику належать суб'єкти, що відповідають таким умовам:

- які мають право на провадження ліцензованого виду господарської діяльності із захисту інформації, що становить державну таємницю, та в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього заходу державного контролю і строк провадження ліцензованого виду господарської діяльності становить більш як 3 роки або в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього заходу державного контролю незалежно від строку провадження ліцензованого виду господарської діяльності;

- які мають право на провадження ліцензованого виду господарської діяльності із захисту інформації, що не становить державної таємниці, та в яких виявлено факти порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього заходу державного контролю незалежно від строку провадження ліцензованого виду господарської діяльності або в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього заходу державного контролю і строк провадження ліцензованого виду господарської діяльності становить менш як 5 років.

Згідно п.5 Критеріїв до суб'єктів господарювання з незначним ступенем ризику належать суб'єкти, що відповідають (у сукупності) таким умовам:<
- які мають право на провадження ліцензованого виду господарської діяльності із захисту інформації, що не становить державної таємниці;
- в яких не виявлено фактів порушення вимог ліцензійних умов провадження ліцензованого виду господарської діяльності під час здійснення останнього планового чи позапланового заходу державного контролю;
- в яких строк провадження ліцензованого виду господарської діяльності становить більш як 5 років.

6. Планові заходи, пов'язані з державним контролем за діяльністю суб'єктів господарювання у ліцензованих видах господарської діяльності, здійснюються з такою періодичністю:
- з високим ступенем ризику - не частіше ніж 1 раз на рік;
- з середнім ступенем ризику - не частіше ніж 1 раз на 3 роки;
- з незначним ступенем ризику - не частіше ніж 1 раз на 5 років.

13 серпня 2014 року постановою Кабінету Міністрів України № 329 був затверджений «Критерій, за яким оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг ЕЦП і визначається періодичність проведення планових заходів, пов'язаних з державним наглядом (контролем) Адміністрацією Держспецзв'язку» (далі - Критерій), згідно якого були встановлені 3 ступені ризику - високий, середній і незначний.

Згідно п.3 Критерію до суб’єктів господарювання з високим ступенем ризику належать суб’єкти, які провадять господарську діяльність у сфері послуг ЕЦП з обслуговування посилених сертифікатів відкритих ключів.

Згідно п.4 Критерію до суб'єктів господарювання із середнім ступенем ризику належать суб'єкти, які відповідають таким умовам:
- провадять господарську діяльність у сфері послуг ЕЦП з обслуговування сертифікатів відкритих ключів;
- стосовно яких не проводилися заходи державного контролю або які за результатами останнього такого заходу допустили порушення вимог законодавства щодо провадження господарської діяльності у зазначеній сфері.

Згідно п.5 Критерію до суб'єктів господарювання з незначним ступенем ризику належать суб'єкти, які відповідають таким умовам:
- провадять господарську діяльність у сфері послуг ЕЦП з обслуговування сертифікатів відкритих ключів;
- у яких за результатами останнього заходу державного контролю не виявлено порушень вимог законодавства щодо провадження господарської діяльності у зазначеній сфері.

6. Планові заходи, пов'язані з державним наглядом (контролем) за діяльністю суб'єктів господарювання у сфері послуг ЕЦП, проводяться з такою періодичністю:
- з високим ступенем ризику - не частіше ніж 1 раз на рік;
- із середнім ступенем ризику - не частіше ніж 1 раз на 3 роки;
- з незначним ступенем ризику - не частіше ніж 1 раз на 5 років.

8 серпня 2016 року постановою Кабінету Міністрів України № 503 були затверджені «Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, пов'язаної з розробленням, виготовленням, постачанням спеціальних технічних засобів для зняття інформації з каналів зв'язку та інших технічних засобів негласного отримання інформації, що підлягає ліцензуванню, і визначається періодичність проведення планових заходів державного нагляду (контролю) Службою безпеки» (далі - Критерії), згідно яких суб'єкти господарювання з урахуванням значення прийнятного ризику відносяться до одного з трьох ступенів ризику - високого, середнього або незначного.

3. До суб'єктів господарювання з високим ступенем ризику належать суб'єкти, які:
- провадять діяльність, пов'язану з розробленням, виготовленням, постачанням спеціальних технічних засобів, загальний обсяг яких за календарний рік, що передує плановому, становить більше 40 одиниць;
- провадять діяльність, пов'язану з державною таємницею;
- протягом останніх двох років, що передують плановому, але не менш як за результатами двох останніх заходів державного нагляду (контролю) допустили порушення ліцензійних умов провадження діяльності, пов'язаної з розробленням, виготовленням, постачанням спеціальних технічних засобів;
- мають факти притягнення до адміністративної та/або кримінальної відповідальності посадових осіб суб’єкта господарювання за незаконний обіг спеціальних технічних засобів;
- провадять господарську діяльність, пов'язану з розробленням, виготовленням, постачанням спеціальних технічних засобів, до трьох років.

4. До суб'єктів господарювання із середнім ступенем ризику належать суб'єкти, які:
- провадять діяльність, пов'язану з розробленням, виготовленням, постачанням спеціальних технічних засобів, загальний обсяг якої за календарний рік, що передує плановому, становить до 40 одиниць;
- протягом останніх трьох років, що передують плановому, але не менш як за результатами двох останніх заходів державного нагляду (контролю) допустили порушення ліцензійних умов провадження діяльності, пов’язаної з розробленням, виготовленням, постачанням спеціальних технічних засобів;
- провадять господарську діяльність, пов'язану з розробленням, виготовленням, постачанням спеціальних технічних засобів, від трьох до 5 років.

5. До суб'єктів господарювання з незначним ступенем ризику належать суб'єкти, які:
- протягом календарного року, що передує плановому, фактично не виконували роботи з розроблення, виготовлення, постачання спеціальних технічних засобів;
- провадять господарську діяльність, пов'язану з розробленням, виготовленням, постачанням спеціальних технічних засобів, більше 5 років;
- протягом останніх трьох років, що передують плановому, але не менш як за результатами двох останніх заходів державного нагляду (контролю) не допустили порушень ліцензійних умов провадження діяльності, пов'язаної з розробленням, виготовленням, постачанням спеціальних технічних засобів.

6. У разі коли суб'єкт господарювання може бути віднесений одночасно до двох або більше ступенів ризику, такий суб'єкт належить до більш високого ступеня ризику з тих, до яких він може бути віднесений.

7. Планові заходи державного контролю за діяльністю суб’єктів господарювання здійснюються СБУ з такою періодичністю:
- з високим ступенем ризику - не частіше одного разу на рік;
- із середнім ступенем ризику - не частіше одного разу на 3 роки;
- з незначним ступенем ризику - не частіше одного разу на 5 років.

16 травня 2007 року наказом Адміністрації Держспецзв'язку № 87 було затверджене «Положення про державний контроль за станом ТЗІ», згідно якого державний контроль за станом ТЗІ полягає в перевірці виконання вимог НД ТЗІ та здійснюється з метою визначення стану ТЗІ в організаціях, виявлення порушень з ТЗІ та запобігання їм. Він здійснюється Держспецзв'язку шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ.

Організація проведення перевірок стану ТЗІ

Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими. При комплексній перевірці визначається відповідність комплексу ТЗІ (КСЗІ) та НД ТЗІ. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативних документів системи ТЗІ.

При контрольній перевірці перевіряється повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться за потреби, як правило, після отримання повідомлення про усунення недоліків.

Планові перевірки здійснюються згідно з річним планом контрольно-інспекторської роботи з питань ТЗІ, затвердженим Головою Держспецзв'язку. Позапланові перевірки здійснюються у разі наявності відомостей щодо порушень виконання вимог НД ТЗІ або з метою визначення повноти та достатності вжитих заходів з ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження.

Підставою для допуску посадових осіб Держспецзв'язку до перевірки стану ТЗІ є наявність припису на право проведення перевірки за підписом начальника регіонального органу Держспецзв'язку.

Порядок проведення перевірок стану ТЗІ

Для проведення перевірки стану ТЗІ посадові особи Держспецзв'язку повинні пред'явити керівнику або вповноваженому представнику організації припис на право проведення перевірки та службові посвідчення. За результатами перевірок посадовими особами Держспецзв'язку, які їх здійснювали, складаються акти перевірок стану ТЗІ.

Акт підписується посадовими особами Держспецзв'язку, якими проводилася перевірка, та затверджуються начальником регіонального органу Держспецзв'язку, який підписав припис на проведення перевірки. Ознайомлення керівника органу, щодо якого здійснюється ТЗІ, з актом здійснюється за його підписом.

У разі відмови керівника організації засвідчити факт ознайомлення з актом перевірки своїм підписом, посадовими особами Держспецзв'язку, що здійснювали перевірку, робиться в акті відповідний запис.

Кваліфікація порушень з ТЗІ

Порушення вимог з ТЗІ поділяються на 3 категорії, які визначають можливість реалізації загроз безпеці інформації:

- 1-а категорія- невиконання вимог НД ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, зокрема за рахунок витоку технічними каналами або цілісності та доступності інформації;

- 2-а категорія- невиконання вимог НД ТЗІ, унаслідок чого створюються передумови до порушення конфіденційності,  зокрема за рахунок витоку технічними  каналами або цілісності та доступності  інформації; 

- 3-я категорія - невиконання інших вимог з ТЗІ.

Порушення 1-ї категорії кваліфікується у разі встановлення такого факту:

- циркуляції ІзОД в ІТС за умов підтвердження інструментально-розрахунковими методами наявності технічного каналу поширення ІзОД;

- обробки ІзОД в ІТС, які мають вихід незахищеними каналами зв'язку за межі контрольованої зони, за умов відсутності атестата відповідності на КСЗІ;

- обробки ІзОД в ІТС, які не мають виходу  за межі контрольованої зони, за умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації), та відсутності атестата відповідності КСЗІ;

- обробки відкритої інформації, що є власністю держави, вимога щодо захисту якої встановлена законом, в ІТС, які мають підключення до мереж телекомунікацій (у тому числі загального користування), за умов відсутності атестата відповідності КСЗІ;

- несанкціонованого доступу користувачів ІТС до інформації, що є власністю держави, або ІзОД шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту.

Порушення 2-ї категорії кваліфікується у разі встановлення такого факту:
- циркуляції ІзОД в ІТС за умов відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам з ТЗІ;
- обробки ІзОД в ІТС, які мають вихід за межі контрольованої зони захищеними каналами, за умов відсутності атестата відповідності КСЗІ;
-  обробки інформації, що є власністю держави, або ІзОД в ІТС, які не мають виходу за межі контрольованої зони, за умов відсутності атестата відповідності КСЗІ.

Невиконання вимог нормативно-правових актів щодо впровадження організаційних заходів з ТЗІ, а також інших норм та вимог у сфері захисту інформації, які не призводять до порушень 1-ї або 2-ї категорії, кваліфікується як порушення 3-ї категорії.

Для з'ясування причин, які призвели до порушень 1-ї категорії, а також притягнення осіб, які їх вчинили, до відповідальності посадові особи Держспецзв'язку, що здійснювали перевірку, ініціюють проведення службових розслідувань. У разі виявлення порушень 1-ї або 2-ї категорії вони у встановленому порядку можуть порушувати питання про припинення інформаційної діяльності на відповідних об'єктах.

З метою приведення стану ТЗІ у відповідність до вимог НД ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівниками органів, щодо яких здійснюється ТЗІ, у місячний термін після отримання акта перевірки затверджується план усунення недоліків, один примірник якого надсилається до органу Держспецзв'язку, посадовими особами якого було здійснено перевірку.

Повідомлення про виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог НД ТЗІ надсилається керівнику органу Держспецзв'язку у терміни, зазначені в акті перевірки та плані усунення недоліків.

16 травня 2007 року наказом Адміністрації Держспецзв'язку № 86, зареєстрованим в Міністерстві юстиції України 4 червня 2007 року за № 577/13844, було затверджене «Положення про державний контроль за станом ТЗІ під час діяльності на території України іноземних інспекційних груп» (далі - Положення).

У Положенні терміни вживаються у такому значенні:

- іноземна інспекційна місія (далі - ІІМ) - комплекс передбачених міжнародними договорами заходів, що здійснюються Українською Стороною та стороною, яка проводить інспектування (спостереження), протягом усього періоду перебування на території України;

- іноземна інспекційна група (далі - ІІГ) - група персоналу, призначеного відповідною міжнародною організацією або державою-учасницею для проведення інспекційної перевірки відповідно до вимог міжнародних договорів.

Згідно п.1.4 Положення під час діяльності ІІГ на території України Держспецзв'язку перевіряються:
- увезена ІІГ інспекційна апаратура та обладнання;
- літаки спостереження іноземних держав, апаратура спостереження та пов'язане з нею обладнання;
- дотримання договірних умов використання ІІГ інспекційного обладнання під час інспекційних перевірок та використання апаратури спостереження під час спостережних польотів;
- своєчасність та повнота оповіщення об'єктів інспектування та об'єктів спостереження;
- повнота та достатність виконання заходів з ТЗІ державними органами, військовими формуваннями, підприємствами, установами та організаціями під час діяльності ІІГ.

Згідно п.2.1 Положення контроль увезеної ІІГ інспекційної апаратури та обладнання здійснюється Держспецзв'язку шляхом проведення перевірок апаратури та обладнання у пунктах в'їзду-виїзду ІІГ.

Перевірки проводяться на підставі приписів і містять у собі:

- зовнішній огляд інспекційної апаратури та обладнання з метою визначення їх відповідності паспортним даним та перелікам обладнання, визначеним умовами договорів;

- перевірку інспекційної апаратури та обладнання із застосуванням спеціальних технічних засобів, за необхідності, з метою визначення відсутності функцій, не сумісних з договірними, та функцій подвійного призначення;

- організацію заходів щодо унеможливлення використання ІІГ під час проведення  інспекційних перевірок зразків інспекційної апаратури та обладнання, які не відповідають договірним вимогам.

Результати перевірки оформляються Актом перевірки ввезеного на територію України інспекційного обладнання, у якому надається (або не надається) дозвіл на використання ІІГ інспекційної апаратури та обладнання на об'єктах інспектування.

Згідно п.2.2 Положення контроль літаків спостереження, апаратури спостереження та пов'язаного з нею обладнання здійснює Адміністрація Держспецзв'язку шляхом проведення передпольотних та післяпольотних оглядових процедур, передпольотних інспекцій літаків у пунктах в'їзду-виїзду ІІГ.

Перевірки проводяться на підставі приписів і містять у собі:
- перевірки виконання процедур унеможливлення використання апаратури спостереження під час виконання транзитних перельотів;
- перевірки літаків спостереження на відсутність на них обладнання, використання якого не передбачено умовами Договору;
- перевірки наданих для огляду конфігурацій оптичної, інфрачервоної, радіолокаційної та відеоапаратури спостереження, навігаційних та обчислювальних систем, а також апаратури анотування на відповідність сертифікованим;
- підтвердження, за необхідності, максимальної розрізнювальної здатності апаратури спостереження в зазначених конфігураціях шляхом виконання демонстраційних польотів   над перевірочними мірами.

Результати перевірки оформляються Рішенням згідно «Положення про порядок забезпечення інспекційної діяльності в Україні згідно з Договором з відкритого неба», затвердженого постановою Кабінету Міністрів України від 13 березня 2002 року № 298.

Згідно п.2.3 Положення контроль за дотриманням узгоджених планів ІІМ та використанням апаратури спостереження членами ІІГ під час виконання інспекційних робіт на об'єктах інспектування проводиться Адміністрацією, регіональними органами Держспецзв'язку у складі груп супроводження безпосередньо на об'єктах інспектування або в ході спостережних польотів і містить у собі:
- контроль за дотриманням встановленого порядку використання інспекційного обладнання та апаратури спостереження в ході інспектування;
- контроль за відсутністю несанкціонованих дій членів ІІГ під час виконання інспекційних робіт;
- ужиття заходів, спрямованих на негайне припинення несанкціонованих дій членами ІІГ, у разі порушень договірних вимог.

24 липня 2007 року наказом Адміністрації Держспецзв'язку № 143, зареєстрованим в Міністерстві юстиції України 8 серпня 2007 року за № 914/14181, було затверджено «Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг ЕЦП», який визначає такі особливі вимоги:

Функції органу контролю у сфері надання послуг ЕЦП здійснює Адміністрація Держспецзв'язку. Контроль за діяльністю державних установ щодо дотримання вимог законодавства у сфері ЕЦП здійснюється шляхом погодження проектів нормативно-правових актів, що визначають порядок застосування ЕЦП державною установою.

Строк здійснення планової перевірки не може перевищувати 15 робочих днів, а позапланової - 10 робочих днів. Продовження строку здійснення позапланової перевірки не допускається. Перевірки організовуються таким чином, щоб не порушувати режим роботи суб'єкта перевірки.

Орган контролю у разі виявлення порушень законодавства у сфері ЕЦП не пізніше 5 робочих днів з дати складання акта перевірки видає припис про усунення порушень. Суб'єкт перевірки зобов'язаний у встановлений в приписі термін письмово подати органу контролю інформацію про усунення порушень разом з документами, що це підтверджують.

У разі встановлення за результатами проведеної перевірки ЦСК фактів (ознак) компрометації особистого ключа порушення вимог законодавства у сфері послуг ЕЦП, не усунених за встановлений у приписі термін, недостовірних даних, зазначених у сертифікаті ключа, органом контролю розглядаються надані матеріали та відповідно до статті 12 Закону України «Про ЕЦП» вирішуються питання щодо видання розпорядження ЦЗО про застосування заходів стосовно суб'єкта перевірки відповідно до закону.

14 жовтня 2014 року наказом Адміністрації Держспецзв'язку № 532, зареєстрованим в Міністерстві юстиції України 4 листопада 2014 року за № 1388/26165, був затверджений «Порядок контролю за додержанням ліцензійних умов провадження господарської діяльності з надання послуг у галузі ТЗІ (згідно з переліком, що визначається Кабінетом Міністрів України)» (далі - Порядок).

14 жовтня 2014 року наказом Адміністрації Держспецзв'язку № 531, зареєстрованим в Міністерстві юстиції України 3 листопада 2014 року за № 1381/26158, був затверджений «Порядок контролю за додержанням Ліцензійних умов провадження господарської діяльності з надання послуг у галузі КЗІ (крім послуг ЕЦП), торгівлі криптосистемами і засобами КЗІ (згідно з переліком, що визначається Кабінетом Міністрів України)».

Контроль за додержанням ліцензіатами ліцензійних умов здійснює у межах своїх повноважень Адміністрація Держспецзв'язку (далі - орган ліцензування) шляхом проведення планових і позапланових перевірок за місцезнаходженням (місцем провадження господарської діяльності) ліцензіата або його відокремлених підрозділів, які провадять господарську діяльність у галузі ТЗІ і КЗІ.

Планові перевірки додержання ліцензіатом Ліцензійних умов орган ліцензування проводить з періодичністю, встановленою Постановою № 791, відповідно до річних або квартальних планів, які затверджуються наказом органом ліцензування до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому.

Метою проведення органом державного контролю планових перевірок є встановлення фактичного стану додержання ліцензіатом Ліцензійних умов. Плани проведення перевірок оприлюднюються шляхом розміщення інформації в мережі Інтернет на офіційному веб-сайті органу державного контролю відразу після підписання відповідного наказу.

Позапланові перевірки проводяться органом ліцензування на підставах, визначених Законом про ліцензування і Законом про державний контроль. Під час проведення позапланових перевірок з'ясовуються лише ті питання, необхідність перевірки яких стала підставою для здійснення цього заходу. Про проведення позапланової перевірки ліцензіат заздалегідь не попереджається.

30 січня 2011 року наказом СБУ № 35, зареєстрованим в Міністерстві юстиції України 23 лютого 2011 року за № 225/18963, був затверджений «Порядок контролю за додержанням Ліцензійних умов провадження господарської діяльності з розроблення, виготовлення СТЗ для зняття інформації з каналів зв'язку, інших засобів негласного отримання інформації, торгівлі СТЗ для зняття інформації з каналів зв'язку, іншими засобами негласного отримання інформації», який визначає такі особливі вимоги:

Контроль за додержанням ліцензіатами Ліцензійних умов у межах своїх повноважень здійснює СБУ як орган ліцензування.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика