Документ 915-2018-п, чинний, поточна редакція — Прийняття від 31.10.2018
( Остання подія — Набрання чинності, відбулась 14.11.2018. Подивитися в історії? )

КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА

від 31 жовтня 2018 р. № 915
Київ

Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації

Відповідно до частини другої статті 5 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності” Кабінет Міністрів України постановляє:

1. Затвердити критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації, що додаються.

2. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.

Прем'єр-міністр України

В.ГРОЙСМАН

Інд. 49




ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 31 жовтня 2018 р. № 915

КРИТЕРІЇ,
за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації

1. Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі:

1) криптографічного захисту інформації (крім електронних довірчих послуг):

вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому;

вид послуг у галузі криптографічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду;

наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) протягом останніх двох років, що передують плановому;

обсяг розроблення, виробництва, постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту, утилізації, тематичних та експертних досліджень криптосистем, засобів криптографічного захисту інформації, конструкторської та іншої технічної документації;

строк провадження ліцензованої діяльності;

2) технічного захисту інформації:

вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому;

вид послуг у галузі технічного захисту інформації, що надаються станом на будь-яку дату протягом останніх двох років, що передують плановому періоду;

тип системи, щодо яких надаються послуги у сфері технічного захисту інформації;

надання послуг із захисту мовної інформації з обмеженим доступом (пошук закладних пристроїв);

приналежність об’єкта, щодо якого надаються послуги у сфері технічного захисту інформації, до об’єкта критичної інфраструктури;

наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі технічного захисту інформації протягом останніх двох років, що передують плановому.

2. Ризики настання негативних наслідків від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації визначено в додатку 1.

3. Перелік критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації, їх показники та кількість балів за кожним показником визначено в додатку 2.

4. Віднесення суб’єктів господарювання, господарська діяльність яких підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації до високого, середнього або незначного ступеня ризику з урахуванням суми балів, нарахованих за всіма критеріями, визначеними у додатку 2, за такою шкалою:

від 41 до 100 балів - до високого ступеня ризику;

від 21 до 40 балів - середнього ступеня ризику;

від 0 до 20 балів - до незначного ступеня ризику.

5. Планові заходи державного нагляду (контролю) за господарською діяльністю, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації проводяться з такою періодичністю:

з високим ступенем ризику - не частіше одного разу на два роки;

із середнім ступенем ризику - не частіше одного разу на три роки;

з незначним ступенем ризику - не частіше одного разу на п’ять років.

6. У разі коли за результатами планових і позапланових заходів державного нагляду (контролю) протягом останніх шести років для суб’єктів господарювання, які віднесені до середнього ступеня ризику, та протягом останніх десяти років для суб’єктів господарювання, які віднесені до незначного ступеня ризику, у суб’єкта господарювання не виявлено суттєвих порушень вимог законодавства у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації, наступний плановий захід державного нагляду (контролю) щодо такого суб’єкта господарювання проводиться не раніше ніж через період часу, встановлений для відповідного ступеня ризику, збільшений у 1,5 раза.



Додаток 1
до критеріїв

РИЗИКИ
настання негативних наслідків від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації

Цілі державного нагляду (контролю)
(код)

Ризик настання негативних наслідків від провадження господарської діяльності

Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю)

подія, що містить ризик настання негативних наслідків

негативний наслідок

У галузі криптографічного захисту інформації
(крім електронних довірчих послуг)

1. Життя та здоров’я людини (О1)

витік інформації, захищеної засобами криптографічного захисту інформації

смерть людини

завдання шкоди здоров’ю людини

вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому

вид послуг у галузі криптографічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду

неналежна якість послуг з криптографічного захисту інформації

2. Належна якість продукції, робіт та послуг (немайнові блага) (О2)

витік інформації, захищеної засобами криптографічного захисту інформації

завдання моральної шкоди споживачеві послуги з криптографічного захисту інформації

неналежна якість послуг з криптографічного захисту інформації

3. Належна якість продукції, робіт та послуг (майнові блага) (О3)

витік інформації, захищеної засобами криптографічного захисту інформації

завдання збитків споживачеві послуги з криптографічного захисту інформації

порушення вимог ліцензійних умов у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) протягом останніх двох років, що передують плановому

неналежна якість послуг з криптографічного захисту інформації

4. Національна безпека держави (О5)

розголошення державної таємниці та іншої інформації з обмеженим доступом

воєнний конфлікт

терористичний акт

обсяг розроблення, виробництва, постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту, утилізації, тематичних та експертних досліджень криптосистем, засобів криптографічного захисту інформації, конструкторської та іншої технічної документації

неналежна якість послуг з криптографічного захисту державного інформаційного ресурсу

-“-

5. Інші суспільні інтереси (О6). Публічні фінанси

витік інформації, захищеної засобами криптографічного захисту інформації

втрати державного та місцевих бюджетів

строк провадження ліцензованої діяльності

У галузі технічного захисту інформації

6. Належна якість продукції, робіт та послуг (немайнові блага) (О2)

розголошення інформації з обмеженим доступом

завдання моральної шкоди споживачеві послуги з технічного захисту інформації

вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому

7. Належна якість продукції, робіт та послуг (майнові блага) (О3)

розголошення інформації з обмеженим доступом

завдання збитків споживачеві послуги з технічного захисту інформації

вид послуг у галузі технічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду

8. Національна безпека держави (О5)

розголошення інформації, що містить державну таємницю

воєнний конфлікт

терористичний акт

тип систем, щодо яких надаються послуги у сфері технічного захисту інформації

9. Інші суспільні інтереси (О6). Честь, гідність, ділова репутація

розголошення інформації з обмеженим доступом

завдання споживачеві послуги моральної шкоди та збитків внаслідок розголошення інформації з обмеженим доступом

надання послуг із захисту мовної інформації з обмеженим доступом (пошук закладних пристроїв)

приналежність об’єкта, щодо якого надаються послуги у сфері технічного захисту інформації, до об'єкта критичної інфраструктури

порушення вимог ліцензійних умов у сфері надання послуг у галузі технічного захисту інформації протягом останніх двох років, що передують плановому



Додаток 2
до критеріїв

ПЕРЕЛІК
критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації

Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю)

Показники критеріїв

Кількість балів

У галузі криптографічного захисту інформації
(крім електронних довірчих послуг)

1. Вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому*

державна таємниця

30

службова інформація

10

конфіденційна інформація

5

2. Вид послуг у галузі криптографічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду*

надання послуг на замовлення державних органів

25

інші послуги

0

3. Порушення вимог ліцензійних умов у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) протягом останніх двох років, що передують плановому*

наявність фактів притягнення до кримінальної та/або адміністративної відповідальності посадових осіб ліцензіата

15

наявність порушень вимог ліцензійних умов, внаслідок виявлення яких анульовано ліцензію

10

розпорядження про усунення порушень

5

відсутність порушень

0

4. Обсяг розроблення, виробництва, постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту, утилізації, тематичних та експертних досліджень криптосистем, засобів криптографічного захисту інформації, конструкторської та іншої технічної документації

більше ніж 100 одиниць протягом року

15

від 10 до 100 одиниць протягом року включно

10

менше ніж 10 одиниць протягом року

5

5. Строк провадження ліцензованої діяльності

менше ніж як два роки

15

від двох до п’яти років включно

5

більш як п’ять років

0

У галузі технічного захисту інформації

6. Вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому*

державна таємниця

40

службова інформація

10

конфіденційна інформація

5

7. Вид послуг у галузі технічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду*

послуги на замовлення державних органів

20

інші послуги

0

8. Тип систем, щодо яких надаються послуги у сфері технічного захисту інформації*

АС класу 1

2

АС класу 2

7

АС класу 3

15

9. Надання послуг із захисту мовної інформації з обмеженим доступом (пошук закладних пристроїв)

надання послуг з пошуку закладних пристроїв

10

ненадання послуг з пошуку закладних пристроїв

0

10. Приналежність об’єкта, щодо якого надаються послуги у сфері технічного захисту інформації, до об’єкта критичної інфраструктури

належить до об’єкта критичної інфраструктури

10

не належить до об’єкта критичної інфраструктури

0

11. Порушення вимог ліцензійних умов у сфері надання послуг у галузі технічного захисту інформації протягом останніх двох років, що передують плановому

наявність порушень ліцензійних умов у сфері технічного захисту інформації

5

відсутність порушень ліцензійних умов у сфері технічного захисту інформації

0

__________
* У разі коли суб’єкта господарювання може бути одночасно віднесено до двох або більше показників критерію, застосовується показник з найбільшою кількістю балів.



ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 31 жовтня 2018 р. № 915

ПЕРЕЛІК
постанов Кабінету Міністрів України, що втратили чинність

1. Постанова Кабінету Міністрів України від 21 червня 2017 р. № 437 “Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації” (Офіційний вісник України, 2017 р., № 54, ст. 1630).

2. Пункт 40 змін, що вносяться до постанов Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 18 грудня 2017 р. № 1103 (Офіційний вісник України, 2018 р., № 17, ст. 573).



вгору