Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації

Кабінет Міністрів України Постанова від 31.10.2018 №915
Остання редакція від 31.10.2018. Прийняття
Реквізити

Видавник: Кабінет Міністрів України

Тип Постанова

Дата 31.10.2018

Номер 915

Статус Не діє

Документ підготовлено в системі iplex
КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 31 жовтня 2018 р. № 915
Київ
Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації
Відповідно до частини другої статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" Кабінет Міністрів України
постановляє:
1. Затвердити критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації, що додаються.
2. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.
Прем’єр-міністр України В. ГРОЙСМАН
Інд. 49
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 31 жовтня 2018 р. № 915
КРИТЕРІЇ,
за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією
Державної служби спеціального зв’язку та захисту інформації
1. Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі:
1) криптографічного захисту інформації (крім електронних довірчих послуг):
вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому;
вид послуг у галузі криптографічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх двох років, що передують плановому періоду;
наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) протягом останніх двох років, що передують плановому;
обсяг розроблення, виробництва, постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту, утилізації, тематичних та експертних досліджень криптосистем, засобів криптографічного захисту інформації, конструкторської та іншої технічної документації;
строк провадження ліцензованої діяльності;
2) технічного захисту інформації:
вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх двох років, що передують плановому;
вид послуг у галузі технічного захисту інформації, що надаються станом на будь-яку дату протягом останніх двох років, що передують плановому періоду;
тип системи, щодо яких надаються послуги у сфері технічного захисту інформації;
надання послуг із захисту мовної інформації з обмеженим доступом (пошук закладних пристроїв);
приналежність об’єкта, щодо якого надаються послуги у сфері технічного захисту інформації, до об’єкта критичної інфраструктури;
наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі технічного захисту інформації протягом останніх двох років, що передують плановому.
2. Ризики настання негативних наслідків від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації визначено в додатку 1.
3. Перелік критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації, їх показники та кількість балів за кожним показником визначено в додатку 2.
4. Віднесення суб’єктів господарювання, господарська діяльність яких підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації до високого, середнього або незначного ступеня ризику з урахуванням суми балів, нарахованих за всіма критеріями, визначеними у додатку 2, за такою шкалою:
від 41 до 100 балів — до високого ступеня ризику;
від 21 до 40 балів — середнього ступеня ризику;
від 0 до 20 балів — до незначного ступеня ризику.
5. Планові заходи державного нагляду (контролю) за господарською діяльністю, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації проводяться з такою періодичністю:
з високим ступенем ризику — не частіше одного разу на два роки;
із середнім ступенем ризику — не частіше одного разу на три роки;
з незначним ступенем ризику — не частіше одного разу на п’ять років.
6. У разі коли за результатами планових і позапланових заходів державного нагляду (контролю) протягом останніх шести років для суб’єктів господарювання, які віднесені до середнього ступеня ризику, та протягом останніх десяти років для суб’єктів господарювання, які віднесені до незначного ступеня ризику, у суб’єкта господарювання не виявлено суттєвих порушень вимог законодавства у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації, наступний плановий захід державного нагляду (контролю) щодо такого суб’єкта господарювання проводиться не раніше ніж через період часу, встановлений для відповідного ступеня ризику, збільшений у 1,5 раза.
Додаток 1
до критеріїв
РИЗИКИ
настання негативних наслідків від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації
Цілі державного нагляду (контролю) (код)Ризик настання негативних наслідків від провадження
господарської діяльності
Критерії, за якими оцінюється ступінь ризику від
провадження господарської діяльності та визначається періодичність
проведення планових заходів державного нагляду (контролю)
подія, що містить ризик настання негативних
наслідків
негативний наслідок
У галузі криптографічного захисту інформації
(крім електронних довірчих послуг)
1. Життя та здоров’я людини (О1)витік інформації, захищеної засобами криптографічного
захисту інформації
смерть людини
завдання шкоди здоров’ю людини
вид інформації за порядком доступу, щодо якої
надаються послуги протягом останніх двох років, що передують
плановому
вид послуг у галузі криптографічного захисту
інформації, що надаються суб’єктом господарювання станом на
будь-яку дату протягом останніх двох років, що передують плановому
періоду
неналежна якість послуг з криптографічного захисту
інформації
2. Належна якість продукції, робіт та послуг
(немайнові блага) (О2)
витік інформації, захищеної засобами криптографічного
захисту інформації
завдання моральної шкоди споживачеві послуги з
криптографічного захисту інформації
неналежна якість послуг з криптографічного захисту
інформації
3. Належна якість продукції, робіт та послуг (майнові
блага)
витік інформації, захищеної засобами криптографічного
захисту інформації
завдання збитків споживачеві послуги з
криптографічного захисту інформації
порушення вимог ліцензійних умов у сфері надання
послуг у галузі криптографічного захисту інформації (крім
електронних довірчих послуг) протягом останніх двох років, що
передують плановому
(О3)неналежна якість послуг з криптографічного захисту
інформації
4. Національна безпека держави (О5)розголошення державної таємниці та іншої інформації з
обмеженим доступом
воєнний конфлікт
терористичний акт
обсяг розроблення, виробництва, постачання, монтажу
(встановлення), налаштування, технічного обслуговування
(супроводження), ремонту, утилізації, тематичних та експертних
досліджень криптосистем, засобів криптографічного захисту
інформації, конструкторської та іншої технічної документації
неналежна якість послуг з криптографічного захисту
державного інформаційного ресурсу
—"—
5. Інші суспільні інтереси (О6). Публічні фінансивитік інформації, захищеної засобами криптографічного
захисту інформації
втрати державного та місцевих бюджетівстрок провадження ліцензованої діяльності
У галузі технічного захисту інформації
6. Належна якість продукції, робіт та послуг
(немайнові блага) (О2)
розголошення інформації з обмеженим доступомзавдання моральної шкоди споживачеві послуги з
технічного захисту інформації
вид інформації за порядком доступу, щодо якої
надаються послуги протягом останніх двох років, що передують
плановому
7. Належна якість продукції, робіт та послуг (майнові
блага) (О3)
розголошення інформації з обмеженим доступомзавдання збитків споживачеві послуги з технічного
захисту інформації
вид послуг у галузі технічного захисту інформації, що
надаються суб’єктом господарювання станом на будь-яку дату протягом
останніх двох років, що передують плановому періоду
8. Національна безпека держави (О5)розголошення інформації, що містить державну
таємницю
воєнний конфлікт
терористичний акт
тип систем, щодо яких надаються послуги у сфері
технічного захисту інформації
9. Інші суспільні інтереси (О6).
Честь, гідність, ділова репутація
розголошення інформації з обмеженим доступомзавдання споживачеві послуги моральної шкоди та
збитків внаслідок розголошення інформації з обмеженим доступом
надання послуг із захисту мовної інформації з
обмеженим доступом (пошук закладних пристроїв)
приналежність об’єкта, щодо якого надаються послуги у
сфері технічного захисту інформації, до об'єкта критичної
інфраструктури
порушення вимог ліцензійних умов у сфері надання
послуг у галузі технічного захисту інформації протягом останніх
двох років, що передують плановому
Додаток 2
до критеріїв
ПЕРЕЛІК
критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації
Критерії, за якими оцінюється ступінь ризику від
провадження господарської діяльності та визначається періодичність
проведення планових заходів державного нагляду (контролю)
Показники критеріївКількість балів
У галузі криптографічного захисту
інформації
(крім електронних довірчих послуг)
1. Вид інформації за порядком доступу, щодо якої
надаються послуги протягом останніх двох років, що передують
плановому*
державна таємниця30
службова інформація10
конфіденційна інформація5
2. Вид послуг у галузі криптографічного захисту
інформації, що надаються суб’єктом господарювання станом на
будь-яку дату протягом останніх двох років, що передують плановому
періоду*
надання послуг на замовлення державних органів25
інші послуги0
3. Порушення вимог ліцензійних умов у сфері надання
послуг у галузі криптографічного захисту інформації (крім
електронних довірчих послуг) протягом останніх двох років, що
передують плановому*
наявність фактів притягнення до кримінальної та/або
адміністративної відповідальності посадових осіб ліцензіата
15
наявність порушень вимог ліцензійних умов, внаслідок
виявлення яких анульовано ліцензію
10
розпорядження про усунення порушень5
відсутність порушень0
4. Обсяг розроблення, виробництва, постачання, монтажу
(встановлення), налаштування, технічного обслуговування
(супроводження), ремонту, утилізації, тематичних та експертних
досліджень криптосистем, засобів криптографічного захисту
інформації, конструкторської та іншої технічної документації
більше ніж 100 одиниць протягом року15
від 10 до 100 одиниць протягом року включно10
менше ніж 10 одиниць протягом року5
5. Строк провадження ліцензованої діяльностіменше ніж як два роки15
від двох до п’яти років включно5
більш як п’ять років0
У галузі технічного захисту інформації
6. Вид інформації за порядком доступу, щодо якої
надаються послуги протягом останніх двох років, що передують
плановому*
державна таємниця40
службова інформація10
конфіденційна інформація5
7. Вид послуг у галузі технічного захисту інформації,
що надаються суб’єктом господарювання станом на будь-яку дату
протягом останніх двох років, що передують плановому періоду*
послуги на замовлення державних органів20
інші послуги0
8. Тип систем, щодо яких надаються послуги у сфері
технічного захисту інформації*
АС класу 12
АС класу 27
АС класу 315
9. Надання послуг із захисту мовної інформації з
обмеженим доступом (пошук закладних пристроїв)
надання послуг з пошуку закладних пристроїв10
ненадання послуг з пошуку закладних пристроїв0
10. Приналежність об’єкта, щодо якого надаються
послуги у сфері технічного захисту інформації, до об’єкта критичної
інфраструктури
належить до об’єкта критичної інфраструктури10
не належить до об’єкта критичної інфраструктури0
11. Порушення вимог ліцензійних умов у сфері надання
послуг у галузі технічного захисту інформації протягом останніх
двох років, що передують плановому
наявність порушень ліцензійних умов у сфері технічного
захисту інформації
5
відсутність порушень ліцензійних умов у сфері
технічного захисту інформації
0
_____________
* У разі коли суб’єкта господарювання може бути одночасно віднесено до двох або більше показників критерію, застосовується показник з найбільшою кількістю балів.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 31 жовтня 2018 р. № 915
ПЕРЕЛІК
постанов Кабінету Міністрів України, що втратили чинність
1. Постанова Кабінету Міністрів України від 21 червня 2017 р. № 437 "Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації" (Офіційний вісник України, 2017 р., № 54, ст. 1630).
2. Пункт 40 змін, що вносяться до постанов Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 18 грудня 2017 р. № 1103 (Офіційний вісник України, 2018 р., № 17, ст. 573).
Джерело інформації: http://www.kmu.gov.ua
КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 31 жовтня 2018 р. № 915
Київ
Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації
Відповідно до частини другої статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" Кабінет Міністрів України
постановляє:
1. Затвердити критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації, що додаються.
2. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.
Прем’єр-міністр України В. ГРОЙСМАН
Інд. 49
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 31 жовтня 2018 р. № 915
КРИТЕРІЇ,
за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією
Державної служби спеціального зв’язку та захисту інформації
1. Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі:
1) криптографічного захисту інформації (крім електронних довірчих послуг):