• Посилання скопійовано
Документ підготовлено в системі iplex

Про проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою, та затвердження Порядку здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною фіскальною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів

Кабінет Міністрів України  | Постанова, Порядок, Положення від 21.06.2017 № 484
Реквізити
  • Видавник: Кабінет Міністрів України
  • Тип: Постанова, Порядок, Положення
  • Дата: 21.06.2017
  • Номер: 484
  • Статус: Документ діє
  • Посилання скопійовано
Реквізити
  • Видавник: Кабінет Міністрів України
  • Тип: Постанова, Порядок, Положення
  • Дата: 21.06.2017
  • Номер: 484
  • Статус: Документ діє
Документ підготовлено в системі iplex
КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 21 червня 2017 р. № 484
Київ
Про проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою, та затвердження Порядку здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною податковою службою і Державною митною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів
( Назва Постанови із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )( Із змінами, внесеними згідно з Постановами КМ № 123 від 05.02.2020 № 688 від 07.07.2021 )
Відповідно до абзаців другого і третього пункту 5 розділу II "Прикінцеві та перехідні положення" Закону України від 21 грудня 2016 р. № 1797-VIII "Про внесення змін до Податкового кодексу України щодо покращення інвестиційного клімату в Україні" Кабінет Міністрів України
постановляє:
1. Утворити міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою.
2. Затвердити такі, що додаються:
Положення про міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою;
Порядок здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною податковою службою і Державною митною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.
( Абзац третій пункту 2 із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )
3. Міжвідомчій робочій групі, утвореній згідно з цією постановою, провести незалежний аудит баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою, в установлений законодавством строк.
4. Міністерству фінансів та Державній фіскальній службі забезпечити здійснення заходів, необхідних для проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою.
Прем'єр-міністр УкраїниВ.ГРОЙСМАН
Інд. 67
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 21 червня 2017 р. № 484
ПОЛОЖЕННЯ
про міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою
1. Міжвідомча робоча група з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою (далі - міжвідомча робоча група), є тимчасовим консультативно-дорадчим органом Кабінету Міністрів України.
2. Міжвідомча робоча група у своїй діяльності керується Конституцією і законами України, а також указами Президента України та постановами Верховної Ради України, прийнятими відповідно до Конституції та законів України, актами Кабінету Міністрів України та цим Положенням.
3. Основними завданнями міжвідомчої робочої групи є:
1) розгляд та затвердження технічних вимог до аудиту баз даних та інформаційних ресурсів, що використовуються ДФС (далі - аудит);
2) розроблення плану дій з проведення аудиту (далі - план дій);
3) проведення аудиту;
4) представлення Кабінету Міністрів України та Мінфіну звіту про результати проведення аудиту.
4. Міжвідомча робоча група відповідно до покладених на неї завдань:
1) розглядає та затверджує основні завдання, мету та технічні вимоги до проведення аудиту;
2) розробляє план дій з проведення аудиту;
3) здійснює необхідні заходи з проведення аудиту відповідно до плану дій;
4) схвалює та подає Кабінетові Міністрів України та Мінфіну звіт про результати проведення аудиту і підготовлені рекомендації та пропозиції для подальшого здійснення контролю, в тому числі моніторингу адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.
5. Міжвідомча робоча група має право:
1) отримувати в установленому законодавством порядку від центральних органів виконавчої влади, державних підприємств та установ інформацію, необхідну для виконання покладених на неї завдань;
2) залучати до участі у своїй роботі представників центральних органів виконавчої влади, державних підприємств та установ, представників міжнародних організацій, незалежних експертів (за згодою);
3) організовувати проведення нарад та інших заходів, необхідних для виконання покладених на неї завдань;
4) утворювати у разі потреби постійні або тимчасові робочі групи для забезпечення виконання покладених на неї завдань.
6. Міжвідомча робоча група під час виконання покладених на неї завдань взаємодіє з центральними органами виконавчої влади, державними підприємствами та установами, представниками міжнародних організацій, незалежними експертами.
7. До складу міжвідомчої робочої групи входить голова, його заступник, секретар, представники Мінцифри, Мінфіну, ДФС, державного підприємства "Українські спеціальні системи", інших центральних органів виконавчої влади, державних підприємств та установ.
( Пункт 7 із змінами, внесеними згідно з Постановою КМ № 123 від 05.02.2020 )
8. Головою міжвідомчої робочої групи є Міністр фінансів.
Голова міжвідомчої робочої групи затверджує її персональний склад та у разі потреби може вносити зміни до нього.
9. Формою роботи міжвідомчої робочої групи є засідання, які проводяться за рішенням її голови.
10. Засідання міжвідомчої робочої групи проводить голова, а за його відсутності - його заступник.
11. Підготовку матеріалів для розгляду на засіданнях міжвідомчої робочої групи забезпечує її секретар.
12. Засідання міжвідомчої робочої групи вважається правоможним у разі присутності на ньому більш як половини її складу.
13. На засіданнях міжвідомча робоча група розробляє пропозиції та рекомендації відповідно до основних завдань.
14. Пропозиції та рекомендації вважаються схваленими, якщо за них проголосувала більш як половина присутніх на засіданні членів міжвідомчої робочої групи. У разі рівного розподілу голосів вирішальним є голос головуючого на засіданні.
15. Пропозиції та рекомендації фіксуються у протоколі засідання, який підписується головуючим на засіданні та секретарем і надсилається членам міжвідомчої робочої групи.
16. Член міжвідомчої робочої групи, який не підтримує пропозиції або рекомендації, може викласти у письмовій формі свою окрему думку, яка додається до протоколу засідання.
17. Звіт про результати проведення аудиту, пропозиції та рекомендації міжвідомчої робочої групи використовуються під час здійснення Мінфіном контролю, в тому числі моніторингу адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов'язкових платежів.
18. Організаційне, інформаційне та матеріально-технічне забезпечення діяльності міжвідомчої робочої групи здійснює Мінфін.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 21 червня 2017 р. № 484
ПОРЯДОК
здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною податковою службою і Державною митною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів
( Назва Порядку із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )( У тексті Порядку слово "ДФС" замінено словами "ДПС і Держмитслужба" у відповідному відмінку згідно з Постановою КМ № 688 від 07.07.2021 )
Загальні питання
1. Цей Порядок встановлює основні вимоги щодо здійснення контролю, в тому числі моніторингу Мінфіном адміністрування ДПС і Держмитслужбою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.
2. Здійснення контролю, в тому числі моніторингу адміністрування ДПС і Держмитслужбою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів, покладено на Мінфін.
3. Бази даних та інформаційні ресурси - це групи взаємозв’язаних одиниць інформації централізованих баз даних інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем ДПС і Держмитслужби, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.
( Пункт 3 із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )
4. Захист інформації баз даних та інформаційних ресурсів під час проведення заходів, передбачених цим Порядком, здійснюється відповідно до вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" .
Моніторинг адміністрування баз даних та інформаційних ресурсів ДПС і Держмитслужби
5. Моніторинг адміністрування баз даних та інформаційних ресурсів ДПС і Держмитслужби (далі - моніторинг) - комплекс програмно-технічних заходів з проведення аналізу інформації в базах даних та інформаційних ресурсах ДПС і Держмитслужби, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.
6. Мінфін організовує здійснення моніторингу з використанням програмно-технічних засобів.
7. Для здійснення моніторингу забезпечується реплікація інформаційних ресурсів та баз даних ДПС і Держмитслужби на програмно-апаратні комплекси Мінфіну, крім бази персональних даних "Державний реєстр фізичних осіб - платників податків" та персональних даних, що містяться в інших базах даних та інформаційних ресурсах ДПС і Держмитслужби, та надання за узгодженими формами узагальнених (зведених) даних, наявних в інформаційних ресурсах ДПС і Держмитслужби.
( Пункт 7 в редакції Постанови КМ № 688 від 07.07.2021 )
8. Механізм реплікації здійснюється у режимі реального часу з дотриманням автентичності та цілісності інформаційних ресурсів та баз даних ДПС і Держмитслужби.
9. Механізм реплікації будується з використанням власних каналів зв’язку Мінфіну, а також каналів конфіденційного зв’язку спеціальної інформаційної телекомунікаційної системи органів влади Національної системи конфіденційного зв’язку та інших інформаційно-телекомунікаційних засобів з використанням засобів технічного та криптографічного захисту інформації відповідно до вимог законодавства з питань захисту інформації.
10. Регламент та формат обміну для механізму реплікації, надання узагальнених (зведених) даних визначаються двосторонніми угодами про інформаційну взаємодію та оформляються окремими протоколами обміну інформацією.
( Пункт 10 із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )
11. Відповідальність за забезпечення захисту інформації в базах даних та інформаційних ресурсах покладається на ДПС і Держмитслужбу в частині інформації, яка міститься у програмно-апаратному комплексі ДПС і Держмитслужби.
12. Відповідальність за забезпечення захисту інформації реплікації баз даних та інформаційних ресурсів ДПС і Держмитслужби на програмно-апаратному комплексі Мінфіну покладається на Мінфін.
13. Алгоритми формування показників, заявки та технічні завдання на створення програмного забезпечення, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів в базах даних інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах ДПС і Держмитслужби, затверджуються ДПС і Держмитслужбою. Копії таких документів передаються до Мінфіну протягом двох робочих днів після їх затвердження.
Контроль адміністрування баз даних та інформаційних ресурсів ДПС і Держмитслужби
14. Контроль адміністрування баз даних та інформаційних ресурсів ДПС і Держмитслужби (далі - контроль) - комплекс програмно-технічних заходів з виявлення та запобігання загрозам зовнішнього та внутрішнього втручання у роботу баз даних та інформаційних ресурсів ДПС і Держмитслужби.
15. Мінфін організовує здійснення контролю з використанням програмно-технічних засобів.
16. Програмно-технічний засіб для здійснення контролю - це засіб інформаційної безпеки, що дає змогу контролювати або у разі потреби обмежувати доступ адміністратора або користувача до баз даних та інформаційних ресурсів ДПС і Держмитслужби, що підсилює їх захист від несанкціонованих дій персоналу і реалізує налаштування політик інформаційної безпеки.
17. Програмно-технічний засіб для здійснення контролю забезпечує створення:
1) області безпеки, яка є контейнером або "захищеною областю", або "захищеним середовищем", що дає змогу визначити та застосувати політики доступу користувачів до бази даних та інформаційних ресурсів ДПС і Держмитслужби у її складі. У таку область можуть включатися як різні об'єкти бази даних, так і права доступу користувачів та інформаційних систем ДПС і Держмитслужби;
2) політик безпеки, які забезпечують здійснення контролю та дотримання регламенту доступу до баз даних та інформаційних ресурсів ДПС і Держмитслужби та області безпеки.
18. Політики безпеки, що контролюють умови доступу до баз даних, інформаційних ресурсів ДПС і Держмитслужби та області безпеки, розробляються та затверджуються ДПС і Держмитслужбою за погодженням з Мінфіном.
19. Адміністрування програмно-технічного засобу контролю здійснюється в частині:
баз даних та інформаційних ресурсів ДПС - ДПС;
баз даних та інформаційних ресурсів Держмитслужби - Держмитслужбою;
погодження (активації) політик безпеки - Мінфіном.
( Пункт 19 в редакції Постанови КМ № 688 від 07.07.2021 )
20. Здійснення модифікації, коригування або зміни політик безпеки незалежно один від одного Мінфіном та ДПС, Держмитслужбою відповідно заборонено.
( Пункт 20 із змінами, внесеними згідно з Постановою КМ № 688 від 07.07.2021 )
21. Інформація, яка надходить до баз даних та інформаційних ресурсів ДПС і Держмитслужби, обов’язково підлягає перевірці політиками безпеки області безпеки.
22. У разі виявлення програмно-технічним засобом контролю, який міститься на програмно-апаратному комплексі ДПС, Держмитслужби, модифікацій, коригування або зміни політик безпеки, активація таких дій автоматично тимчасово припиняється програмно-технічним засобом, повідомлення про такі дії автоматично надсилаються Мінфіну, а також ДПС або Держмитслужбі відповідно.
У разі виявлення програмно-технічним засобом контролю порушень інформаційної безпеки в межах затверджених політик безпеки повідомлення про такі дії автоматично надсилаються Мінфіну, а також ДПС або Держмитслужбі відповідно.
( Пункт 22 в редакції Постанови КМ № 688 від 07.07.2021 )
23. ДПС і Держмитслужба проводять перевірки фактів порушення інформаційної безпеки, за результатами яких вживають всіх необхідних заходів відповідно до законодавства та у десятиденний строк інформують Мінфін про результати таких перевірок.
( Пункт 23 в редакції Постанови КМ № 688 від 07.07.2021 )
24. Якщо за результатами перевірки встановлено необхідність внесення модифікацій, коригувань або змін до політик безпеки, що контролюють умови доступу до баз даних, інформаційних ресурсів ДПС і Держмитслужби та області безпеки, такі зміни протягом п’яти робочих днів вносяться відповідно до пункту 18 цього Порядку та активуються Мінфіном у програмно-технічному засобі контролю.
( Пункт 24 в редакції Постанови КМ № 688 від 07.07.2021 )
25. Результати контролю адміністрування баз даних та інформаційних ресурсів ДПС і Держмитслужби, в тому числі моніторингу, використовуються Мінфіном під час здійснення контролю і координації діяльності ДПС і Держмитслужби в частині ведення баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.