Відповідно до Законів України "Про електронний цифровий підпис", "Про Державну службу спеціального зв'язку та захисту інформації України", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 № 868, з метою здійснення державного контролю за додержанням законодавства у сфері електронного цифрового підпису

1. Затвердити Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису , що додається.

2. Начальнику Департаменту регулювання діяльності у сфері криптографічного захисту інформації забезпечити подання в установленому порядку цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

1.1. Це Положення розроблене відповідно до Законів України "Про електронний цифровий підпис", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 № 903, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28.10.2004 № 1451, Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, затвердженого постановою Кабінету Міністрів України від 28.10.2004 № 1452.

1.2. Положення визначає порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису (далі - ЕЦП), у тому числі проведення перевірок суб'єктів правових відносин у сфері послуг ЕЦП, визначених законом, а також оформлення і розгляд результатів перевірок.

1.3. Функції контролюючого органу у сфері надання послуг електронного цифрового підпису (далі - контролюючий орган) відповідно до статті 12 Закону України "Про електронний цифровий підпис" , підпункту 20 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України , затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, здійснює Адміністрація Державної служби спеціального зв'язку та захисту інформації України.

1.4. Дія Положення поширюється на контролюючий орган, центральний засвідчувальний орган, акредитовані центри сертифікації ключів (далі - акредитовані центри), центри сертифікації ключів, засвідчувальні центри органів виконавчої влади або інших державних органів (далі - засвідчувальні центри), а також міністерства, інші центральні органи виконавчої влади, органи місцевого самоврядування (далі - державні установи).

2.1. Терміни, які вживаються у Положенні, мають таке значення:

безвиїзний нагляд - діяльність контролюючого органу, пов'язана зі збором інформації від суб'єктів правових відносин у сфері послуг ЕЦП з метою отримання відомостей про явища та процеси, що відбуваються у сфері послуг ЕЦП;

державний контроль за додержанням вимог законодавства у сфері надання послуг ЕЦП (далі - контроль у сфері ЕЦП) - це діяльність контролюючого органу в межах повноважень, передбачених законом, щодо виявлення та запобігання порушенням вимог законодавства суб'єктами правових відносин у сфері послуг ЕЦП;

перевірка - плановий або позаплановий захід контролю у сфері ЕЦП, який проводиться посадовими особами Державної служби спеціального зв'язку та захисту інформації України відповідно до їх функціональних повноважень за місцезнаходженням суб'єкта перевірки та здійснюється за комплексом питань або окремих питань, визначених у цьому Положенні.

Інші терміни вживаються у значеннях, визначених у Законах України "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг", постанові Кабінету Міністрів України від 13.07.2004 № 903 "Про затвердження Порядку акредитації центру сертифікації ключів", наказі Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) від 13.01.2005 № 3"Про затвердження Правил посиленої сертифікації", зареєстрованому в Мін'юсті України 27.01.2005 за № 104/10384.

3.1. Контроль у сфері ЕЦП реалізується контролюючим органом шляхом погодження нормативно-правових актів у випадках, передбачених законодавством та Положенням, перевірок суб'єктів правових відносин у сфері послуг ЕЦП, визначених законом, а також вжиття заходів у разі невиконання або неналежного виконання ними обов'язків, встановлених законодавством.

3.2. Основними завданнями контролю у сфері ЕЦП є:

встановлення відповідності вимогам законодавства організації та порядку надання послуг ЕЦП суб'єктами правових відносин у сфері послуг ЕЦП;

забезпечення дотримання вимог законодавства центральним засвідчувальним органом, засвідчувальними центрами щодо акредитації центрів сертифікації ключів;

своєчасне попередження, виявлення та припинення дій або бездіяльності, які містять ознаки порушення законодавства у сфері надання послуг ЕЦП, усунення причин виникнення цих порушень і умов, що їм сприяють, а в разі, якщо порушення припинено, - вжиття заходів для усунення наслідків цих порушень;

оцінка діяльності суб'єктів правових відносин у сфері послуг електронного цифрового підпису щодо дотримання законодавства;

забезпечення відповідності законодавству порядку застосування ЕЦП державними установами.

3.3. Безвиїзний нагляд проводиться шляхом аналізу:

стану роботи електронних інформаційних ресурсів, які використовуються для надання послуг ЕЦП;

інформаційних матеріалів, електронних документів тощо, розміщених на електронних інформаційних ресурсах, які використовуються для надання послуг ЕЦП, щодо їх відповідності вимогам законодавства;

відповідності вимогам законодавства змісту сертифікатів ключів, що формуються суб'єктами надання послуг ЕЦП;

переліку та порядку надання послуг ЕЦП через електронні інформаційні ресурси;

щорічних звітів, що надаються акредитованими центрами та центрами сертифікації ключів відповідно до пункту 3.4 Положення;

іншої інформації щодо функціонування, організації та надання послуг суб'єктами правових відносин у сфері послуг ЕЦП.

3.4. До 15 січня кожного року акредитований центр та центр сертифікації ключів надає до контролюючого органу відомості за попередній рік роботи щодо надання послуг ЕЦП, зокрема про:

кількість укладених договорів про надання послуг ЕЦП (окремо з фізичними та юридичними особами);

кількість сформованих та скасованих сертифікатів ключів за звітний період із зазначенням причин скасування;

факти відшкодування збитків підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром та центром сертифікації ключів своїх зобов'язань (за наявністю);

факти участі як позивача, відповідача або третьої сторони у судових справах з питань, пов'язаних з наданням послуг ЕЦП, предмет розгляду та прийняте рішення (за наявністю);

факти порушень акредитованим центром та центром сертифікації ключів вимог законодавства із захисту інформації під час надання послуг ЕЦП, їх причини та заходи щодо усунення порушень;

інші питання за окремими запитами контролюючого органу.

3.5. Контролюючим органом організовуються та проводяться планові та позапланові перевірки суб'єктів правових відносин у сфері послуг ЕЦП, визначених законом.

3.6. Предметом перевірки центрального засвідчувального органу, засвідчувальних центрів та акредитованих центрів є стан дотримання законодавства у сфері ЕЦП, у тому числі Закону України "Про електронний цифровий підпис" , Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1452, Порядку обов'язкової передачі документованої інформації, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1454, Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу, затвердженого постановою Кабінету Міністрів України від 26 травня 2004 року № 680, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 року № 50), інших нормативно-правових актів, а також регламентів їх роботи.

3.7. Під час перевірки акредитованого центру можуть перевірятися його відокремлені пункти реєстрації.

3.8. Предметом перевірки центрів сертифікації ключів є стан дотримання положень Закону України "Про електронний цифровий підпис" , інших нормативно-правових актів у сферах ЕЦП та захисту інформації під час надання послуг ЕЦП.

3.9. Контроль за діяльністю державних установ щодо дотримання вимог законодавства у сфері ЕЦП здійснюється шляхом погодження проектів нормативно-правових актів, що визначають порядок застосування ЕЦП державною установою. Перевірки державних установ стосовно дотримання вимог законодавства із захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, у тому числі під час застосування ЕЦП, здійснюються Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку) в рамках державного контролю за станом криптографічного та технічного захисту інформації.

3.10. У разі виявлення фактів (ознак) порушення вимог законодавства у сфері ЕЦП контролюючий орган має право звернутися до державної установи щодо припинення дій або усунення порушень законодавства та вимагати звіту про здійснення заходів із усунення порушень.

4.1. Планові перевірки центрального засвідчувального органу, у тому числі державного підприємства, установи та організації, що здійснює технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу відповідно до пункту 7 Положення про центральний засвідчувальний орган , затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, а також інших суб'єктів у сфері послуг ЕЦП, встановлених законом, проводяться відповідно до плану перевірок суб'єктів у сфері послуг ЕЦП, затвердженого Адміністрацією Держспецзв'язку (далі - План Адміністрації Держспецзв'язку), та у разі внесення акредитованих центрів і центрів сертифікації ключів, що є суб'єктами господарювання, - до планів проведення заходів державного нагляду (контролю) інших державних органів відповідно до плану комплексних планових заходів державного нагляду (контролю) органів державного нагляду (контролю), затвердженого Мінекономрозвитку (далі - комплексний план), що складаються на кожний рік.

Для складання комплексного плану Адміністрація Держспецзв'язку подає Мінекономрозвитку відомості про заходи державного нагляду (контролю) до 15 вересня року, що передує плановому періоду, відповідно до Порядку складення та затвердження плану комплексних планових заходів державного нагляду (контролю) органів державного нагляду (контролю), затвердженого постановою Кабінету Міністрів України від 04 листопада 2015 року № 902.

План Адміністрації Держспецзв'язку складається з урахуванням комплексного плану та затверджується Адміністрацією Держспецзв'язку до 01 грудня року, що передує плановому періоду. Копія Плану Адміністрації Держспецзв'язку надсилається до центрального засвідчувального органу протягом 10 робочих днів з дня його затвердження.

4.2. Періодичність проведення планових перевірок акредитованих центрів і центрів сертифікації ключів, що є суб'єктами господарювання, визначається Критеріями, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв'язку та захисту інформації, затвердженими постановою Кабінету Міністрів України від 13 серпня 2014 року № 329.

Планові перевірки центрального засвідчувального органу, засвідчувального центру, акредитованого центру державного органу проводяться з періодичністю один раз на рік.

Планові перевірки державних установ проводяться з періодичністю один раз на чотири роки.

4.3. Щороку до 01 квітня контролюючий орган готує звіт про виконання річного Плану Адміністрації Держспецзв'язку за попередній рік і оприлюднює його в мережі Інтернет.

4.4. Позапланова перевірка суб'єктів у сфері послуг ЕЦП здійснюється за рішенням контролюючого органу за наявності таких підстав:

подання суб'єктом у сфері послуг ЕЦП письмової заяви до контролюючого органу про здійснення перевірки за його бажанням;

виявлення та підтвердження недостовірності даних, заявлених у щорічних звітах, що надаються акредитованими центрами та центрами сертифікації ключів відповідно до пункту 3.4 Положення (для акредитованих центрів та центрів сертифікації ключів);

перевірка виконання суб'єктом у сфері послуг електронного цифрового підпису приписів щодо усунення порушень вимог законодавства, виданих за результатами проведення планової перевірки;

подання пропозицій центральним засвідчувальним органом контролюючому органу за результатами розгляду заяв і скарг щодо неналежного функціонування акредитованих центрів або центрів сертифікації ключів (для акредитованих центрів та центрів сертифікації ключів);

письмового повідомлення центральним засвідчувальним органом про обставини, які перешкоджають його діяльності (для центрального засвідчувального органу);

письмового звернення підписувачів та користувачів щодо неналежного виконання суб'єктами у сфері послуг ЕЦП функцій, визначених законодавством;

неподання у встановлений термін акредитованими центрами та центрами сертифікації ключів щорічних звітів відповідно до пункту 3.4 Положення без поважних причин, а також письмових пояснень про причини, які перешкоджали поданню таких звітів (для акредитованих центрів та центрів сертифікації ключів);

звернення суду.

4.5. Під час проведення позапланової перевірки з'ясовуються лише ті питання, необхідність перевірки яких стала підставою для здійснення цього заходу, з обов'язковим зазначенням цих питань у посвідченні на проведення перевірки.

4.6. Суб'єкт перевірки повинен ознайомитися з підставою проведення позапланової перевірки з наданням йому копії відповідного документа.

4.7. Строк здійснення позапланової перевірки не може перевищувати десяти робочих днів. Продовження строку здійснення позапланової перевірки не допускається.

4.8. Про проведення планової перевірки контролюючий орган письмово повідомляє відповідного суб'єкта не пізніше ніж за 10 днів до початку цієї перевірки.

Повідомлення повинно містити:

дату початку та дату закінчення здійснення перевірки;

найменування суб'єкта перевірки;

найменування контролюючого органу.

Повідомлення надсилається рекомендованим листом чи телефонограмою або вручається особисто керівнику чи уповноваженій особі суб'єкта перевірки під розписку.

4.9. Суб'єкт перевірки має право не допускати посадових осіб контролюючого органу до здійснення планової перевірки в разі неодержання повідомлення про здійснення перевірки.

4.10. Для проведення перевірки контролюючий орган видає наказ, який має містити найменування суб'єкта перевірки, предмет перевірки та склад комісії з перевірки (далі - Комісія).

4.11. До складу Комісії можуть залучатися в установленому порядку представники центрального засвідчувального органу.

4.12. На підставі наказу оформляється посвідчення на проведення перевірки, яке підписується Головою Держспецзв'язку або його заступником і засвідчується печаткою.

У посвідченні на проведення перевірки зазначаються:

найменування контролюючого органу;

найменування суб'єкта перевірки;

місцезнаходження суб'єкта перевірки;

номер і дата наказу, на виконання якого здійснюється перевірка;

склад Комісії із зазначенням посад, прізвищ, імен та по батькові її членів;

дата початку та дата закінчення перевірки;

тип перевірки (планова або позапланова);

підстави перевірки;

перелік питань, що підлягають перевірці;

інформація про здійснення попередньої перевірки (тип перевірки і строк її проведення).

Посвідчення є чинним лише протягом зазначеного в ньому строку здійснення перевірки.

4.13. Строк здійснення планової перевірки не може перевищувати п'ятнадцяти робочих днів. Продовження строку здійснення перевірки не допускається.

5.1. Голова Комісії зобов'язаний:

забезпечити координацію роботи між членами Комісії при підготовці та проведенні перевірки;

організувати роботу Комісії, у тому числі визначити конкретні терміни, види, обсяги робіт, що потрібні для проведення перевірки;

здійснити розподіл питань, за якими проводиться перевірка, між членами Комісії, встановити порядок і режим їх роботи;

контролювати виконання доручених ним завдань.

5.2. Голова Комісії має право:

встановлювати для членів Комісії додаткові завдання з перевірки та здійснювати перерозподіл їх обов'язків;

здійснювати особисто перевірку будь-якої діяльності суб'єкта перевірки у сфері надання послуг ЕЦП;

запитувати та отримувати від підписувачів, яким надаються послуги ЕЦП суб'єктом перевірки, за їх згодою, відомості, що потрібні для встановлення фактичних обставин, які призвели (можуть призвести) до порушень встановлених вимог стосовно надання послуг ЕЦП;

давати вказівки щодо оформлення акта перевірки та припису;

давати інші вказівки щодо проведення перевірки.

5.3. Члени Комісії беруть участь у роботі Комісії та виконують поставлені перед ними завдання. Член Комісії має право одноособово, керуючись конкретним завданням голови Комісії, досліджувати окремі питання перевірки.

5.4. Члени Комісії зобов'язані:

повно, об'єктивно та неупереджено здійснювати перевірку;

керуватися та дотримуватися вимог законодавства та нормативно-правових актів з питань надання послуг ЕЦП і захисту інформації;

сумлінно, вчасно та якісно виконувати свої службові обов'язки та доручення голови Комісії;

дотримуватися ділової етики у взаємовідносинах із суб'єктами перевірки;

ознайомити керівника суб'єкта перевірки або його заступника, або уповноважену ним особу з результатами перевірки;

надавати суб'єкту перевірки консультаційну допомогу щодо здійснення перевірки;

не розголошувати інформацію з обмеженим доступом, яка стала їм відома в зв'язку з виконанням службових обов'язків.

5.5. Члени Комісії при виконанні своїх службових обов'язків під час проведення перевірки мають право:

вільного доступу встановленим порядком до всіх документів та інформації суб'єкта перевірки щодо надання ним послуг ЕЦП і акредитації, у тому числі інформації з обмеженим доступом;

вільного доступу у робочий час на територію та до всіх приміщень суб'єкта перевірки, у тому числі спеціальних, які використовуються для забезпечення функціонування технічних засобів та зберігання документів з питань надання послуг ЕЦП;

вивчати роботу технічних засобів, які використовуються суб'єктом перевірки для надання послуг у сфері ЕЦП, у тому числі автоматизованих систем та програмно-технічного комплексу;