Ім'я файлу: ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 151кб.
Дата: 10.05.2022
скачати
Пов'язані файли:
вторгнення.docx
Розширення: docx
Розмір: 151кб.
Дата: 10.05.2022
скачати
Пов'язані файли:
вторгнення.docx
6. Порядок ліцензування господарської діяльності у галузі технічного захисту інформації
Порядок контролю за додержанням Ліцензійних умов провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України)
І. Загальні положення
1.1. Цей Порядок розроблено відповідно до Закону України "Про ліцензування певних видів господарської діяльності" (далі - Закон про ліцензування) з урахуванням вимог Законів України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" (далі - Закон про державний контроль), постанов Кабінету Міністрів України від 03 вересня 2014 року N 411 "Про затвердження Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України", від 22 серпня 2012 року N 791 "Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності у галузях криптографічного та технічного захисту інформації, що підлягає ліцензуванню відповідно до Закону України "Про ліцензування певних видів господарської діяльності", і визначається періодичність здійснення планових заходів державного нагляду (контролю)" (далі - Постанова N 791), від 14 листопада 2000 року N 1698 "Про затвердження переліку органів ліцензування".
1.2. Дія цього Порядку поширюється на всіх суб'єктів господарювання, які отримали в установленому порядку ліцензію Адміністрації Держспецзв'язку на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України).
1.3. У цьому Порядку терміни вживаються у значеннях, наведених в Законі про ліцензування, Законі про державний контроль та інших нормативно-правових актах у сфері ліцензування.
ІІ. Організація перевірок
2.1. Контроль за додержанням ліцензіатами Ліцензійних умов провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України) (далі - Ліцензійні умови) здійснює у межах своїх повноважень Адміністрація Державної служби спеціального зв’язку та захисту інформації України (далі - орган ліцензування) шляхом проведення планових і позапланових перевірок за місцезнаходженням (місцем провадження господарської діяльності) ліцензіата або його відокремлених підрозділів, які провадять господарську діяльність у галузі технічного захисту інформації (далі - ТЗІ).
2.2. Планові перевірки додержання ліцензіатом Ліцензійних умов орган ліцензування проводить з періодичністю, встановленою Постановою N 791, відповідно до річних або квартальних планів, які затверджуються органом ліцензування до 01 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому.
2.3. Річні або квартальні плани проведення планових перевірок оприлюднюються шляхом розміщення інформації в мережі Інтернет на офіційному веб-сайті органу ліцензування.
2.4. Позапланові перевірки проводяться органом ліцензування на підставах, визначених Законом про ліцензування і Законом про державний контроль.
Під час проведення позапланових перевірок з’ясовуються лише ті питання, необхідність перевірки яких стали підставою для здійснення цього заходу.
Позапланова перевірка не може здійснюватись з одних і тих самих питань за період, який вже перевірявся, за винятком випадків, якщо така перевірка здійснюється на виконання рішення суду, в межах досудового провадження чи з метою контролю виконання розпорядження про усунення порушень Ліцензійних умов із зазначеного питання.
2.5. Для проведення планової або позапланової перевірки орган ліцензування видає наказ про проведення перевірки, який має містити інформацію про:
найменування суб’єкта господарювання, щодо якого буде здійснюватися захід;
предмет перевірки (планова/позапланова);
посаду, прізвище, ім'я та по батькові посадових осіб органу ліцензування, які будуть проводити перевірку;
строки проведення перевірки.
2.6. На підставі наказу оформлюється посвідчення на проведення перевірки додержання Ліцензійних умов (далі - Посвідчення), форма якого наведена у додатку 1 до цього Порядку, яке підписується керівником або заступником керівника органу ліцензування та засвідчується печаткою.
Посвідчення реєструється у журналі обліку посвідчень на проведення перевірки ліцензіатів, форма якого наведена у додатку 2 до цього Порядку, сторінки якого мають бути пронумеровані, прошнуровані та скріплені печаткою.
При проведенні позапланових перевірок у Посвідченні обов’язково зазначаються питання, що стали підставою для проведення цього заходу.
2.7. Якщо під час проведення перевірки передбачається ознайомлення з відомостями, що становлять державну таємницю, органом ліцензування оформлюються в установленому порядку документи, що засвідчують право посадових осіб органу ліцензування на ознайомлення з відомостями, що становлять державну таємницю.
2.8. Орган ліцензування проводить планові перевірки додержання ліцензіатами Ліцензійних умов за умови направлення (пред'явлення) письмового повідомлення про перевірку додержання Ліцензійних умов провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України) (далі - Повідомлення), форма якого наведена у додатку 3 до цього Порядку.
Повідомлення готується на бланку органу ліцензування і повинно містити дату початку та дату закінчення планової перевірки, найменування юридичної особи або прізвище, ім'я та по батькові фізичної особи - підприємця, щодо якого проводиться перевірка.
Повідомлення не пізніше як за десять днів до дня проведення цієї перевірки надсилається рекомендованим листом чи телефонограмою або вручається особисто керівнику ліцензіата чи уповноваженій особі із засвідченням підпису.
2.9. Строк проведення планової перевірки не може перевищувати п'ятнадцяти робочих днів, а для суб'єктів малого підприємництва - п'яти робочих днів.
Строк проведення позапланової перевірки не може перевищувати десяти робочих днів, а для суб'єкта малого підприємництва - двох робочих днів.
Продовження строків проведення планової та позапланової перевірок не допускається.
Посадова особа органу ліцензування без Посвідчення та службового посвідчення не має права проводити перевірку суб'єкта господарювання.
ІІІ. Повноваження посадових осіб органу ліцензування під час проведення перевірки
3.1. Посадові особи органу ліцензування під час перевірки:
вимагають від ліцензіата усунення виявлених порушень вимог законодавства;
вимагають припинення дій, які перешкоджають проведенню державного нагляду (контролю);
ознайомлюються з необхідною документацією та матеріалами, що стосуються ліцензованої діяльності у галузі КЗІ;
отримують копії (ксерокопії) документів, необхідних для проведення перевірки;
надають (надсилають) ліцензіату обов'язкові для виконання приписи про усунення порушень.
3.2. Посадові особи органу ліцензування зобов’язані:
керуватися у своїй роботі вимогами законодавства;
об’єктивно відображати стан справ щодо додержання ліцензіатом Ліцензійних умов, а також усунення їх порушень;
забезпечувати збереження інформації з обмеженим доступом, яка стала відома під час перевірки;
ознайомлювати керівника суб’єкта господарювання, або його заступника, або уповноважену ним особу з результатами перевірки в строки, передбачені Законом про державний контроль;
надавати суб’єкту господарювання консультаційну допомогу щодо проведення перевірки;
дотримуватися ділової етики у взаємовідносинах із ліцензіатом.
3.3. Посадові особи органу ліцензування відповідають згідно із Законом про державний контроль.
3.4. Голова комісії відповідає за проведення перевірки в установлені терміни.
IV. Права та обов'язки ліцензіата
4.1. Ліцензіат (уповноважена особа) під час проведення перевірки має право:
1) вимагати від посадових осіб органу ліцензування додержання вимог законодавства;
2) перевіряти наявність у посадових осіб органу ліцензування службових посвідчень і одержувати копії посвідчення на проведення планової або позапланової перевірки;
3) не допускати посадових осіб органу ліцензування до проведення перевірки, якщо:
вона проводиться з порушенням вимог щодо періодичності проведення перевірок, передбачених Законом про державний контроль;
посадова особа органу ліцензування не надала копії документів, передбачених Законом про державний контроль, або якщо надані документи не відповідають вимогам цього Закону;
ліцензіатом не отримано Повідомлення;
4) бути присутнім під час проведення перевірки;
5) вимагати нерозголошення інформації, що є комерційною таємницею ліцензіата;
6) одержувати акт, складений за результатами проведення планового (позапланового) заходу державного нагляду (контролю) щодо додержання суб'єктом господарювання Ліцензійних умов провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України) (далі - Акт перевірки), форма якого наведена у додатку 4 до цього Порядку, та ознайомлюватися з ним;
7) надавати в письмовій формі свої пояснення, зауваження або заперечення до Акта перевірки;
8) оскаржувати в установленому законодавством порядку неправомірні дії органу ліцензування та його посадових осіб.
4.2. Ліцензіат (уповноважена особа) під час перевірки додержання ним Ліцензійних умов зобов'язаний:
допускати посадових осіб органу ліцензування до проведення перевірки за умови дотримання порядку її проведення, передбаченого законодавством;
виконувати вимоги органу ліцензування щодо усунення виявлених порушень вимог Ліцензійних умов;
надавати копії (ксерокопії) документів, письмові пояснення, довідки, матеріали та відомості з питань, що виникають під час перевірки, відповідно до законодавства;
забезпечувати присутність керівника ліцензіата (юридичної особи) або ліцензіата - фізичної особи - підприємця або уповноваженої особи ліцензіата під час проведення перевірки;
одержувати примірник Акта перевірки;
забезпечити необхідні умови для проведення посадовими особами органу ліцензування перевірки в установлені терміни.
V. Порядок проведення перевірки
5.1. Перед початком перевірки голова комісії органу ліцензування повинен пред’явити керівнику ліцензіата (юридичної особи), ліцензіату (фізичній особі - підприємцю) або уповноваженій особі ліцензіата посвідчення на проведення перевірки та службові посвідчення, що засвідчують посадових осіб органу ліцензування, і надати йому (їй) копію посвідчення на проведення перевірки.
Посвідчення на проведення перевірки є чинним лише протягом зазначеного в ньому строку проведення перевірки.
У разі проведення перевірки суб’єкта господарювання, що має ліцензію з правом надання послуг з технічного захисту інформації усіх видів, у тому числі інформації, що становить державну таємницю, посадові особи органу ліцензування пред’являють керівнику ліцензіата (юридичної особи), ліцензіату (фізичній особі - підприємцю) або уповноваженій особі ліцензіата оформлені в установленому порядку документи, що засвідчують їх право на ознайомлення з відомостями, що становлять державну таємницю.
5.2. Планові та позапланові перевірки проводяться в робочий час ліцензіата, встановлений правилами внутрішнього трудового розпорядку, та у присутності ліцензіата (уповноваженої особи).
Уповноважені особи ліцензіата повинні надати посадовим особам органу ліцензування документи, що надають їм право представляти ліцензіата під час проведення перевірки (довіреність, наказ).
5.3. Посадова особа органу ліцензування перед початком проведення перевірки обов'язково зазначає в журналі відвідування ліцензіата (у разі його наявності) строки та мету відвідування, посади і прізвища голови та членів комісії органу ліцензування, підстави для проведення перевірки. Указані дані засвідчуються підписом голови комісії органу ліцензування.
VІ. Порядок оформлення результатів перевірки
6.1. За результатами проведення планової або позапланової перевірки посадовими особами органу ліцензування складається Акт перевірки.
Посадові особи органу ліцензування проводять планову (позапланову) перевірку у межах переліку питань, визначених у Акті перевірки.
6.2. Посадовими особами органу ліцензування в Акті перевірки зазначається стан виконання Ліцензійних умов ліцензіатом, а в разі невиконання - детальний опис виявлених порушень з посиланням на відповідні вимоги нормативно-правових актів і нормативних документів, які були порушені ліцензіатом. Довільне викладення або трактування вимог нормативно-правових і нормативних актів не допускається. Забороняється вносити до акта перевірки відомості, які не підтверджені документально.
6.3. Усі копії та витяги з документів, що стосуються предмета перевірки, отримані посадовими особами органу ліцензування, повинні бути засвідчені підписом керівника (уповноваженої особи) ліцензіата та печаткою ліцензіата (за наявності).
6.4. Акт перевірки складається у двох примірниках.
В останній день перевірки два примірники Акта перевірки підписуються посадовими особами органу ліцензування, керівником ліцензіата (юридичної особи), ліцензіатом (фізичною особою - підприємцем) або уповноваженою особою ліцензіата, яка письмово підтверджує факт ознайомлення з результатами перевірки, для чого проставляє свій підпис, дату та завіряє печаткою (за наявності).
Керівник ліцензіата (юридичної особи), ліцензіат (фізична особа - підприємець) або уповноважена особа ліцензіата має право до Акта перевірки додати письмові пояснення та викласти зауваження щодо його змісту і проведення перевірки. Вони оформлюються у письмовій формі та є невід'ємною частиною Акта перевірки. При цьому на всіх примірниках Акта перевірки перед підписом керівника ліцензіата (юридичної особи), ліцензіата (фізичної особи - підприємця) або уповноваженої особи ліцензіата робиться запис "Із зауваженнями".
У разі відмови суб’єкта господарювання підписати Акт перевірки голова комісії вносить до нього відповідний запис, який засвідчується підписами членів комісії з перевірки.
6.5. Один примірник Акта перевірки зберігається в органі ліцензування, а другий надсилається рекомендованим листом ліцензіату або вручається із засвідченням підпису, скріпленого печаткою, керівнику ліцензіата (юридичної особи), ліцензіату (фізичній особі - підприємцю) або уповноваженій особі ліцензіата.
6.6. Якщо ліцензіат відмовив органу ліцензування у проведенні перевірки або якщо орган ліцензування під час проведення планової або позапланової перевірки виявив повторне порушення ліцензіатом Ліцензійних умов; недостовірні відомості у документах, поданих суб’єктом господарювання для одержання ліцензії; факт передачі ліцензії або її копії іншій юридичній або фізичній особі для провадження господарської діяльності; невиконання розпорядження про усунення порушень Ліцензійних умов; неможливість ліцензіата забезпечити виконання ліцензійних умов, встановлених для певного виду господарської діяльності, то в останній день перевірки посадові особи органу ліцензування складають Акт про порушення, форма якого наведена у додатку 5 до цього Порядку, в якому вказують відповідний вид порушення (повторне порушення ліцензіатом Ліцензійних умов; виявлення недостовірних відомостей у документах, поданих суб’єктом господарювання для одержання ліцензії; встановлення факту передачі ліцензії або її копії іншій юридичній або фізичній особі для провадження господарської діяльності; невиконання розпорядження про усунення порушень Ліцензійних умов; відмова ліцензіата в проведенні перевірки органом ліцензування; неможливість ліцензіата забезпечити виконання Ліцензійних умов).
6.7. Повторним порушенням Ліцензійних умов вважається вчинення ліцензіатом протягом строку дії ліцензії повторного порушення Ліцензійних умов після застосування санкцій за аналогічне порушення.
6.8. Недостовірністю даних у документах, поданих суб'єктом господарювання для одержання ліцензії, вважається встановлення місцезнаходження юридичної особи (місця провадження господарської діяльності) або місця проживання фізичної особи - підприємця, не зазначеного у заяві або інших документах, поданих суб'єктом господарювання для одержання ліцензії, а також інших розбіжностей між відомостями, викладеними в поданих документах і встановленими за результатами перевірки.
6.9. Неможливістю ліцензіата забезпечити виконання Ліцензійних умов вважається відсутність у нього, його філіях та інших відокремлених підрозділах, які провадять господарську діяльність у галузі ТЗІ:
штатних або найманих за договором спеціалістів, що відповідають заявленому виду діяльності та обсягу послуг за кількістю, освітою, а також іншим кваліфікаційним вимогам, визначеним у розділі ІV Ліцензійних умов;
власних або орендованих засобів ТЗІ, повірених засобів вимірювальної техніки, допоміжних засобів та обладнання, що за своїм складом забезпечують виконання обраного виду послуг;
спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею (у разі наявності права надання послуг з технічного захисту інформації усіх видів, у тому числі інформації, що становить державну таємницю), з категорією режиму секретності, що відповідає ступеню секретності відомостей, використання яких передбачено за обраним видом послуг;
спеціалістів з допусками до державної таємниці, оформленими відповідно до ступеня секретності інформації, до якої вони допущені (передбачено їх допущення) при виконанні робіт за ліцензією (у разі наявності права надання послуг з технічного захисту інформації усіх видів, у тому числі інформації, що становить державну таємницю);
приміщення для проведення секретних нарад, обговорень і надання послуг у галузі ТЗІ зі створеними та атестованими на відповідність вимогам нормативних документів з ТЗІ комплексами ТЗІ від витоку технічними каналами (за потреби);
технічних засобів обробки секретної інформації та/або інформаційних (автоматизованих) систем, у яких створено комплексну систему захисту інформації з підтвердженою відповідністю, з категорією засобу (системи), що відповідає ступеню секретності (обмеження доступу) відомостей, використання яких передбачено за обраним видом послуг у галузі ТЗІ (у разі надання виду послуг, визначеного пунктом 3.1 розділу ІІІ Ліцензійних умов, - обов’язково, а у разі надання виду послуг, визначеного пунктом 3.2 розділу ІІІ Ліцензійних умов, - за потреби);
погодженої з Адміністрацією Держспецзв’язку методики виявлення закладних пристроїв (у разі надання виду послуг, визначеного пунктом 3.2 розділу ІІІ Ліцензійних умов);
нормативних документів з питань ТЗІ, що забезпечують надання обраного виду послуг, та які мають гриф обмеження доступу.
6.10. Відмовою ліцензіата у проведенні перевірки органом ліцензування вважається:
відмова (ненадання доступу) ліцензіата або вчинення ліцензіатом перешкод доступу посадових осіб органу ліцензування на територію, до споруд та приміщень (об'єктів інформаційної діяльності, інформаційних (автоматизованих) систем) ліцензіата для вивчення питань, пов’язаних з перевіркою;
не призначення ліцензіатом уповноваженої особи, яка має право представляти ліцензіата під час проведення перевірки у разі відсутності керівника ліцензіата (юридичної особи) або ліцензіата - фізичної особи - підприємця;
відмова керівника ліцензіата (юридичної особи), або ліцензіата - фізичної особи - підприємця, або уповноваженої особи ліцензіата бути присутньою при проведенні перевірки;
створення ліцензіатом перешкод, що унеможливлюють проведення перевірки в установлений строк. Перешкодою, що унеможливлює проведення перевірки в установлений строк, вважається несвоєчасне (протягом поточного дня перевірки, якщо інший строк не узгоджено з посадовими особами органу ліцензування) виконання вимог посадових осіб органу ліцензування, пов'язаних з проведенням планової або позапланової перевірки, що спричиняє неможливість перевірки всіх питань контролю в установлений для проведення перевірки строк;
відмова посадовим особам органу ліцензування в ознайомленні з документами, необхідними для проведення перевірки, або ненадання на вимогу комісії копій (ксерокопій) необхідних документів і письмових пояснень, довідок, матеріалів і відомостей з питань, що виникають під час перевірки.
У разі відмови ліцензіата у проведенні перевірки в Акті перевірки робиться відповідний запис із зазначенням конкретних фактів, що перешкоджають проведенню перевірки, та додаються відповідні пояснення керівника (уповноваженої особи) ліцензіата.
6.11. Орган ліцензування у разі виявлення порушень Ліцензійних умов протягом п’яти робочих днів з дати складання Акта перевірки приймає рішення про видачу розпорядження про усунення порушень Ліцензійних умов (далі - Розпорядження), форма якого наведена у додатку 6 до цього Порядку, або анулювання ліцензії.
6.12. Розпорядження складається у двох примірниках, реєструється у відповідному журналі (на Розпорядженні проставляються номер і дата). Один примірник Розпорядження не пізніше ніж через п'ять робочих днів з дня складення Акта перевірки надається (надсилається) ліцензіату для виконання, а другий примірник з підписом ліцензіата або уповноваженої ним особи щодо погодження термінів усунення порушень вимог законодавства залишається в органі ліцензування.
У разі відмови ліцензіата або уповноваженої ним особи від отримання Розпорядження воно надсилається рекомендованим листом, а на другому його примірнику, який залишається в органі ліцензування, проставляються відповідний вихідний номер і дата надсилання.
6.13. У разі усунення ліцензіатом виявлених за результатами планової або позапланової перевірки порушень Ліцензійних умов (повністю або частково) протягом п'яти робочих днів з дати складання Акта перевірки, що підтверджено документально та не потребує додаткової перевірки, органом ліцензування Розпорядження не видається або видається щодо не усунутих порушень.
6.14. Ліцензіат, який одержав Розпорядження, зобов’язаний у встановлений Розпорядженням строк усунути порушення та у письмовій формі подати органу ліцензування інформацію про усунення порушень з наданням документів, що це підтверджують, або їх копій.
Ці документи або їх копії не надаються, якщо інформація про усунення порушень не потребує документального підтвердження, або через неможливість відтворення цих документів чи їх копій.
6.15. У разі неподання ліцензіатом до органу ліцензування інформації про усунення порушень протягом строку, зазначеного в Розпорядженні, або якщо надана ліцензіатом інформація про усунення порушень не підтверджує виконання Розпорядження, а також з метою перевірки виконання Розпорядження за рішенням органу ліцензування проводиться позапланова перевірка додержання ліцензіатом Ліцензійних умов.
Якщо надана ліцензіатом інформація про усунення порушень підтверджує в повному обсязі виконання Розпорядження та її надано своєчасно, перевірка виконання Розпорядження органом ліцензування не проводиться.
VІІ. Анулювання ліцензії
7.1. Підставами для анулювання ліцензії є:
заява ліцензіата про анулювання ліцензії;
наявність в Єдиному державному реєстрі юридичних осіб і фізичних осіб-підприємців відомостей про перебування юридичної особи у стані припинення шляхом ліквідації (перебування фізичної особи-підприємця у стані припинення підприємницької діяльності) або про державну реєстрацію її припинення (державну реєстрацію припинення підприємницької діяльності фізичної особи-підприємця);
нотаріально засвідчена копія свідоцтва про смерть фізичної особи - підприємця;
акт про повторне порушення ліцензіатом Ліцензійних умов;
акт про виявлення недостовірних відомостей у документах, поданих ліцензіатом для одержання ліцензії;
акт про встановлення факту передачі ліцензії або її копії іншій юридичній або фізичній особі для провадження господарської діяльності;
акт про невиконання Розпорядження про усунення порушень Ліцензійних умов;
акт про неможливість ліцензіата забезпечити виконання ліцензійних умов, установлених для певного виду господарської діяльності;
акт про відмову ліцензіата у проведенні перевірки органом ліцензування.
7.2. Рішення про анулювання ліцензії приймається органом ліцензування протягом десяти робочих днів з дати встановлення підстав для анулювання ліцензії, яке вручається (надсилається) ліцензіату із зазначенням підстав анулювання не пізніше ніж через три робочих дні з дати його прийняття.
7.3. Питання про анулювання ліцензії на підставі акта про виявлення недостовірних відомостей у документах, поданих ліцензіатом для одержання ліцензії, акта про встановлення факту передачі ліцензії або її копії іншій юридичній або фізичній особі для провадження господарської діяльності, акта про невиконання Розпорядження про усунення порушень Ліцензійних умов розглядається органом ліцензування з обов'язковим запрошенням ліцензіата або його представників.
7.4. Питання про анулювання ліцензії в разі невиконання Розпорядження розглядається за наявності:
розпорядчих документів, на підставі яких проводилися відповідні перевірки;
Акта перевірки (планової/позапланової);
Розпорядження;
листа ліцензіата щодо усунення порушень Ліцензійних умов (за наявності);
акта про невиконання Розпорядження про усунення порушень Ліцензійних умов.
7.5. У разі анулювання ліцензії на підставі акта про повторне порушення ліцензіатом Ліцензійних умов, акта про виявлення недостовірних відомостей у документах, поданих ліцензіатом для одержання ліцензії, акта про встановлення факту передачі ліцензії або її копії іншій юридичній або фізичній особі для провадження господарської діяльності, акта про невиконання Розпорядження про усунення порушень Ліцензійних умов ліцензіат може одержати нову ліцензію на право провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України) не раніше ніж через рік з дати прийняття рішення органом ліцензування про анулювання попередньої ліцензії.
7.6. Рішення про анулювання ліцензії набирає чинності через тридцять днів з дня його прийняття, крім рішень про анулювання ліцензії, прийнятих згідно з поданою заявою ліцензіата про анулювання ліцензії та в разі смерті ліцензіата (фізичної особи - підприємця), які набирають чинності з дня їх прийняття.
Якщо ліцензіат протягом цього часу подає скаргу до експертно-апеляційної ради, дія цього рішення органу ліцензування зупиняється до прийняття відповідного рішення спеціально уповноваженого органу з питань ліцензування.
Запис про дату та номер рішення про анулювання ліцензії вноситься до ліцензійного реєстру не пізніше наступного робочого дня після набрання чинності рішенням про анулювання ліцензії.
7.7. Витяг з рішення про анулювання ліцензії надсилається ліцензіату з повідомленням про вручення особисто.
VІІІ. Оскарження рішення про анулювання ліцензії
8.1. У разі подання ліцензіатом протягом тридцяти днів з дня прийняття органом ліцензування рішення про анулювання ліцензії скарги до експертно-апеляційної ради при спеціально уповноваженому органі з питань ліцензування його дія зупиняється до прийняття експертно-апеляційною радою при спеціально уповноваженому органі з питань ліцензування відповідного рішення.
Рішення експертно-апеляційної ради при спеціально уповноваженому органі з питань ліцензування є підставою для видання ним розпорядження про усунення порушень законодавства у сфері ліцензування, допущених органом ліцензування.
8.2. Рішення про анулювання ліцензії може бути оскаржено в судовому порядку.
7. Створення та порядок проведення атестації комплексів технічного захисту інформації.
1 Галузь використання
Дія цього нормативного документа (НД) поширюється на комплекси технічного захисту інформації (ТЗІ) від витоку технічними каналами на обєктах інформаційної діяльності (ОІД).
НД встановлює загальні вимоги до організації атестації комплексів щодо повноти та якості робіт з ТЗІ відповідно до ДСТУ 3396.1-96 та визначає порядок проведення цієї атестації.
НД призначений для державних органів, органів місцевого самоврядування, органів управління Збройних Сил України, інших військових формувань, підприємств, організацій, установ, діяльність яких пов’язана з інформацією, необхідність охорони якої визначено законодавством України, а також виконавців робіт з ТЗІ.
2 Нормативнi посилання
У цьому НД наведено посилання на такi документи:
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
3 Визначення
У цьому НД використовують термiни відповідно до ДСТУ 3396.2-97. Визначення інших термінів:
Об’єкт інформаційної діяльності - інженерно-технічна споруда, приміщення, де здійснюється адміністративна, виробнича та інша діяльність, пов’язана з інформацією, що підлягає захисту від витоку технічними каналами.
Комплекс ТЗІ - сукупність заходів та засобів, призначених для реалізації ТЗІ на ОІД.
Атестація комплексу ТЗІ - оцінювання ефективності комплексу технічного захисту інформації, що циркулюватиме на ОІД, на відповідність вимогам нормативних документів з ТЗІ.
Особливо важливий ОІД - ОІД, на якому циркулює інформація, захист якої забезпечується згідно з вимогами 1 категорії.
4 Загальні положення
4.1 Атестація комплексу ТЗІ (далі - атестація) здійснюється за відповідними програмою і методиками випробувань.
На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ.
4.2 Атестація може бути первинною, черговою та позачерговою.
Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу ТЗІ.
Термін проведення чергової атестації визначається технічним паспортом на комплекс ТЗІ або актом попередньої атестації.
Позачергову атестацію проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для інформації, та за висновками органів, які контролюють стан ТЗІ.
4.3 Етапи атестації:
- визначення організації-виконавця атестації та оформлення відповідних організаційних документів;
- аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ та розроблення і оформлення Програми і методик атестації (ПМА);
- проведення випробувань відповідно до ПМА та оформлення протоколів випробувань і підсумкового документа - акта атестації.
4.4 Суб'єкти атестації:
- Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (далі - Департамент);
- організації-замовники атестації; - організації-виконавці атестації.
4.5 Департамент
- організує розроблення та удосконалення нормативних документів з атестації;
- контролює виконання вимог щодо атестації та розглядає апеляції;
- узгоджує вибір організації-виконавця атестації, ПМА та результати атестації на особливо важливих ОІД.
4.6 Витрати на проведення атестації включаються до кошторису на проектування, будівництво та експлуатацію (утримання) ОІД.
5 Порядок організації та проведення атестації
5.1 Організація-замовник на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, визначає організацію-виконавця атестації.
Організацією-виконавцем атестації може бути підприємство, установа чи організація, які мають відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у встановленому законодавством порядку.
Відносини між організацією-замовником та організацією-виконавцем, яка є ліцензіатом, регламентуються укладеним між ними договором.
У разі проведення атестації на особливо важливих ОІД визначення організаціївиконавця атестації узгоджується з Департаментом.
5.2 Організація-виконавець за результатами аналізу відомостей (додаток 1), наданих організацією-замовником, та, за необхідності, за результатами аналізу умов функціонування ОІД і загроз для інформації безпосередньо на ОІД, розробляє проект ПМА та подає його на узгодження організації-замовнику.
Узгоджений організацією-замовником проект ПМА затверджує організація-виконавець.
У разі атестації комплексу ТЗІ на особливо важливих ОІД проект ПМА узгоджується також з Департаментом.
5.3 Організація-замовник створює умови проведення атестації, передбачені договором та ПМА.
Організація-виконавець проводить випробування відповідно до ПМА та оформляє акт атестації за формою додатку 2 у 2-х примірниках (1-й надається організації-замовнику, 2-й – зберігається у організації-виконавця).
До акту атестації додаються протоколи випробувань, передбачених ПМА. За результатами атестації заповнюється технічний паспорт на комплекс ТЗІ.
5.4 У разі проведення атестації на особливо важливих ОІД матеріали з атестації у 5денний термін організація-виконавець надає Департаменту. Департамент у 2-тижневий термін розглядає результати атестації, приймає рішення щодо можливості їх узгодження, реєструє акт атестації (додаток 3) та надсилає його організації-замовнику, одночасно інформуючи про це організацію-виконавця.
5.5 У разі незгоди з результатами атестації організація-замовник має право направити до Департаменту апеляцію. Департамент у місячний термін за апеляцією приймає відповідні рішення. Повторна атестація проводиться за рахунок винного.
8. Засоби копіювально-розмножувальної техніки.
1 Галузь використання
Цей нормативний документ (НД) поширюється на технічні засоби оргтехніки, що базуються на неполіграфічних методах оперативного копіювання (репрографія) і призначені для копіювання та розмноження документів. НД призначений для визначення можливостей застосування конкретних типів засобів копіювально-розмножувальної техніки (КРТ) з метою оброблення інформації, що підлягає технічному захисту, а також для визначення вимог з технічного захисту інформації (ТЗІ) до створюваних засобів КРТ і сертифікації таких засобів на відповідність вимогам з ТЗІ.
2 Нормативні посилання
У цьому документі є посилання на такі нормативні документи:
ГОСТ 13.0.001-84 Репрография. Основные положения;
ГОСТ 13.0.002-84 Репрография. Термины и определения;
ГОСТ 13.1.001-85 Репрография. Микрография. Основные положения;
ГОСТ 4.338-85 Репрография. Микрография. Оборудование копирования микроформ;
ГОСТ 13.2.001-90Е Репрография. Копирография. Аппараты копировальные электрофотографические. Общие технические требования;
ГОСТ 13.2.002-90 Репрография. Копирография. Средства диазокопирования. Общие технические требования и методы испытаний;
ГОСТ 13.2.012-91 Репрография. Копирография. Средства электроискрового копирования. Общие технические требования и методы испытаний;
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;
НД ТЗІ Тимчасові рекомендації з технічного захисту інформації в засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних электромагнітних випромінень і наводів (ТР ЕОТ-95). Затверджено наказом Державної служби України з питань технічного захисту інформації від 09 червня 1995 р. N 25;
НД ТЗІ Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок (ТР ТЗІ - ПЕМВН-95). Затверджено наказом Державної служби України з питань технічного захисту інформації від 09 червня 1995 р. N 25.
3 Визначення
Поняття, терміни та їх визначення, що використовуються в документі, відповідають ГОСТ 13.0.001-84, ГОСТ 13.0.002-84, ДСТУ 3396.0-96, ДСТУ 3396.1-96 та ДСТУ 3396.2-97.
4 Позначення та скорочення
НД - нормативний документ;
КРТ - копіювально-розмножувальна техніка;
ТЗІ - технічний захист інформації;
ПЕМВН - побічні електромагнітні випромінення та наводи.
5 Основні положення
5.1 Об`єктом класифікації є технічні засоби оргтехніки, що грунтуються на неполіграфічних методах оперативного копіювання та розмноження документації.
5.2 Ознаки, за якими проводиться класифікація засобів КРТ, визначаються загрозами для оброблюваної інформації, що спричиняються роботою таких засобів, зокрема фізичними процесами перенесення зображення - методами копіювання (додаток А).
5.3 Загрозою для інформації, що обробляється засобом КРТ, є її витік технічними каналами (ДСТУ 3396.2-97) через: - побічні електромагнітні випромінення (відповідно до ТР ЕОТ-95 та ТР ТЗІ - ПЕМВН-95), - електромагнітні наводи в мережі живлення, уземлення та інші загрози.
5.4 Засоби копіювально-розмножувальної техніки - світлокопіювальні, фотокопіювальні, термокопіювальні та мікрографічні апарати у процесі роботи не створюють інформативні побічні електромагнітні випромінення і наводи (ПЕМВН).
5.5 Електрофотографічні копіювальні апарати поділяються на аналогові - з оптичним перенесенням зображення з оригіналу на копію, та цифрові - з оптично-дискретним перенесенням зображення, (додаток Б). Електрофотографічні копіювальні апарати аналогового типу у процесі роботи не створюють інформативні ПЕМВН. Цифрові електрофотографічні копіювальні апарати створюють інформативні ПЕМВН, що можуть бути носіями інформації, яка обробляється. Під час роботи таких апаратів можливий витік інформації, що обробляється КРТ, каналами побічних електромагнітних випромінень (ПЕМВ) і наводів у мережі живлення та уземлення, а також інші загрози.
5.6 Класифікацію засобів КРТ наведено у таблиці 1. Таблиця 1- Класифікація засобів КРТ
| Клас А Засоби КРТ, що не | Клас Б Засоби КРТ, що створюють інформативні ПЕМВН (електрофотографічні цифрові апарати) | |||||
| створюють інформативні ПЕМВН (світло-, фото-, | Підклас I Засоби КРТ з циклічним інформативним сигналом (цифрові електрофотографічні апарати) | Підклас II Засоби КРТ з однократним інформативним сигналом (ризографи) | ||||
| термокопію-вальні, | Група 1 | Група 2 | Група 3 | Група 1 | Група 2 | Група 3 |
| мікро-, електрофотографічні аналогові апарати) | Засоби КРТ з витоком інформації шляхом ПЕМВ | Засоби КРТ з витоком інформації шляхом наводів в мережі живлення та уземлення | Засоби КРТ з іншими загрозами для інформації | Засоби КРТ з витоком інформації шляхом ПЕМВ | Засоби КРТ з витоком інформації шляхом наводів в мережі живлення та уземлення | Засоби КРТ з іншими загрозами для інформації |
| | Підгрупи за кількісними показниками | Підгрупи за кількісними показниками | | Підгрупи за кількісними показниками | Підгрупи за кількісними показниками | |
9. Організації проектування і проектної документації для будівництва
1 2 3 4 5