Неофициальный перевод. (с) СоюзПравоИнформ

ПРИКАЗ АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 24 июля 2007 года №143

Об утверждении Положения о порядке осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи

Список изменяющих документов

В соответствии с Законами Украины "Об электронной цифровой подписи", "О Государственной службе специальной связи и защиты информации Украины", Положением об Администрации Государственной службы специальной связи и защиты информации, утвержденным постановлением Кабинета Министров Украины от 24.06.2006 N868, в целях осуществления государственного контроля за соблюдением законодательства в сфере электронной цифровой подписи, ПРИКАЗЫВАЮ:

1. Утвердить Положение о порядке осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи (прилагается).

2. Начальнику Департамента регулирования деятельности в сфере криптографической защиты информации обеспечить представление в установленном порядке настоящего приказа на государственную регистрацию в Министерство юстиции Украины.

3. Контроль за выполнением настоящего приказа возложить на первого заместителя Председателя Государственной службы специальной связи и защиты информации Украины.

Утверждено Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 24 июля 2007 года №143

Положение о порядке осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи

1. Общие положения

1.1. Это Положение разработано в соответствии с Законами Украины "Об электронной цифровой подписи", "О Государственной службе специальной связи и защиты информации Украины", Положением об Администрации Государственной службы специальной связи и защиты информации, утвержденным постановлением Кабинета Министров Украины от 24.06.2006 N868, Порядком аккредитации центра сертификации ключей, утвержденным постановлением Кабинета Министров Украины от 13.07.2004 N903, Положением о центральном удостоверяющем органе, утвержденным постановлением Кабинета Министров Украины от 28.10.2004 N1451, Порядком применения электронной цифровой подписи органами государственной власти, органами местного самоуправления, предприятиями, учреждениями и организациями государственной формы собственности, утвержденным постановлением Кабинета Министров Украины от 28.10.2004 N1452.

1.2. Положение определяет порядок осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи (далее - ЭЦП), в том числе проведения проверок субъектов правовых отношений в сфере услуг ЭЦП, определенных законом, а также оформления и рассмотрения результатов проверок.

1.3. Функции контролирующего органа в сфере предоставления услуг электронной цифровой подписи (далее - контролирующий орган) в соответствии со статьей 12 Закона Украины "Об электронной цифровой подписи", подпунктом 33 пункта 4 Положения об Администрации Государственной службы специальной связи и защиты информации, утвержденного постановлением Кабинета Министров Украины от 24.06.2006 N868 осуществляет Администрация Государственной службы специальной связи и защиты информации Украины.

1.4. Действие Положения распространяется на контролирующий орган, центральный удостоверяющий орган, аккредитованные центры сертификации ключей (далее - аккредитованные центры), центры сертификации ключей, удостоверяющие центры органов исполнительной власти или других государственных органов (далее - удостоверяющие центры), а также министерства, другие центральные органы исполнительной власти, органы местного самоуправления (далее - государственные учреждения).

2. Определение терминов

2.1. Термины, употребляемые в Положении, имеют следующее значение:

безвыездный надзор - деятельность контролирующего органа, связанная со сбором информации от субъектов правовых отношений в сфере услуг ЭЦП с целью получения сведений о явлениях и процессах, происходящих в сфере услуг ЭЦП;

государственный контроль за соблюдением требований законодательства в сфере предоставления услуг ЭЦП (далее - контроль в сфере ЭЦП) - это деятельность контролирующего органа в пределах полномочий, предусмотренных законом, по выявлению и предупреждению нарушений требований законодательства субъектами правовых отношений в сфере услуг ЭЦП;

проверка - плановая или внеплановая мера контроля в сфере ЭЦП, которая проводится должностными лицами в соответствии с их функциональными полномочиями по местонахождению субъекта проверки и осуществляется по комплексу вопросов или отдельных вопросов, определенных в этом Положении.

Другие термины употребляются в значениях, определенных в Законах Украины "Об электронной цифровой подписи", "Об электронных документах и электронном документообороте", постановлении Кабинета Министров Украины от 13.07.2004 N903 "Об утверждении Порядка аккредитации центра сертификации ключей", приказе Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины (далее - ДСТСЗИ СБ Украины) от 13.01.2005 N3 "Об утверждении Правил усиленной сертификации", зарегистрированном в Минюсте Украины 27.01.2005 за N104/10384.

3. Контроль в сфере ЭЦП

3.1. Контроль в сфере ЭЦП реализуется контролирующим органом путем согласования нормативно-правовых актов в случаях, предусмотренных законодательством и Положением, проверок субъектов правовых отношений в сфере услуг ЭЦП, определенных законом, а также принятия мер в случае невыполнения или ненадлежащего выполнения ими обязанностей, установленных законодательством.

3.2. Основными задачами контроля в сфере ЭЦП являются:

установление соответствия требованиям законодательства организации и порядка предоставления услуг ЭЦП субъектами правовых отношений в сфере услуг ЭЦП;

обеспечение соблюдения требований законодательства центральным удостоверяющим органом, удостоверяющими центрами относительно аккредитации центров сертификации ключей;

своевременное предупреждение, выявление и прекращение действий или бездействия, которые содержат признаки нарушения законодательства в сфере предоставления услуг ЭЦП, устранение причин возникновения этих нарушений и условий, которые им содействуют, а в случае, если нарушение прекращено, - принятие мер для устранения последствий этих нарушений;

оценка деятельности субъектов правовых отношений в сфере услуг электронной цифровой подписи относительно соблюдения законодательства;

обеспечение соответствия законодательству порядка применения ЭЦП государственными учреждениями.

3.3. Безвыездный надзор проводится путем анализа:

состояния работы электронных информационных ресурсов, которые используются для предоставления услуг ЭЦП;

информационных материалов, электронных документов и т.п., размещенных на электронных информационных ресурсах, используемых для предоставления услуг ЭЦП относительно их соответствия требованиям законодательства;

соответствия требованиям законодательства содержания сертификатов ключей, которые формируются субъектами предоставления услуг ЭЦП;

перечня и порядка предоставления услуг ЭЦП через электронные информационные ресурсы;

ежегодных отчетов, которые представляются аккредитованными центрами и центрами сертификации ключей в соответствии с пунктом 3.4 Положения;

другой информации относительно функционирования, организации и предоставления услуг субъектами правовых отношений в сфере услуг ЭЦП.

3.4. До 15 января каждый год аккредитованный центр и центр сертификации ключей предоставляет контролирующему органу сведения за предыдущий год работы относительно предоставления услуг ЭЦП, в частности о:

количестве заключенных договоров о предоставлении услуг ЭЦП (отдельно с физическими и юридическими лицами);

количестве сформированных и отмененных сертификатов ключей за отчетный период с указанием причин отмены;

фактах возмещения убытков подписывателям, пользователям или третьим лицам вследствие ненадлежащего выполнения аккредитованным центром и центром сертификации ключей своих обязательств (при наличии);

фактах участия в качестве истца, ответчика или третьей стороны в судебных делах по вопросам, связанным с предоставлением услуг ЭЦП, предмете рассмотрения и принятом решении (при наличии);

фактах нарушений аккредитованным центром и центром сертификации ключей требований законодательства по защите информации во время предоставления услуг ЭЦП, их причинах и мерах по устранению нарушений;

других вопросах по отдельным запросам контролирующего органа.

3.5. Контролирующим органом организовываются и проводятся плановые и внеплановые проверки субъектов правовых отношений в сфере услуг ЭЦП, определенных законом.

3.6. Предметом проверки центрального удостоверяющего органа, удостоверяющих центров и аккредитованных центров является состояние соблюдения законодательства в сфере предоставления услуг ЭЦП, в том числе Закона Украины "Об электронной цифровой подписи" , постановления Кабинета Министров Украины от 13.07.2004 N903 "Об утверждении Порядка аккредитации центра сертификации ключей", постановления Кабинета Министров Украины от 28.10.2004 N1451 "Об утверждении Положения о центральном удостоверяющем органе", приказа ДСТСЗИ СБ Украины от 13.01.2005 N3 "Об утверждении Правил усиленной сертификации", зарегистрированного в Минюсте Украины 27.01.2005 за N104/10384, других нормативно-правовых актов, а также регламента работы аккредитованного центра.

3.7. Во время проверки аккредитованного центра могут проверяться его обособленные пункты регистрации.

3.8. Предметом проверки центров сертификации ключей является состояние соблюдения положений Закона Украины "Об электронной цифровой подписи" во время предоставления услуг ЭЦП.

3.9. Контроль за деятельностью государственных учреждений относительно соблюдения требований законодательства в сфере ЭЦП осуществляется путем согласования проектов нормативно-правовых актов, которые определяют порядок применения ЭЦП государственным учреждением. Проверки государственных учреждений относительно соблюдения требований законодательства по защите государственных информационных ресурсов или информации, требование о защите которой установлено законом, в том числе во время применения ЭЦП, осуществляются Государственной службой специальной связи и защиты информации Украины (далее - Госспецсвязи) в рамках государственного контроля за состоянием криптографической защиты информации.

3.10. В случае выявления фактов (признаков) нарушения требований законодательства в сфере ЭЦП контролирующий орган имеет право обратиться в государственное учреждение относительно прекращения действий или устранения нарушений законодательства и требовать отчета об осуществлении мероприятий по устранению нарушений.

4. Организация проведения проверок

4.1. Плановые проверки центрального удостоверяющего органа, в том числе государственного предприятия, учреждения и организации, осуществляющей техническое и технологическое обеспечение выполнения функций центрального удостоверяющего органа в соответствии с пунктом 7 Положения о центральном удостоверяющем органе, утвержденного постановлением Кабинета Министров Украины от 28.10.2004 N1451 , а также других субъектов в сфере услуг ЭЦП, установленных законом, проводятся в соответствии с планом проверок, который составляется на каждый год и утверждается Администрацией Госспецсвязи до 1 декабря года, предшествующего плановому. Копия плана проверок направляется в центральный удостоверяющий орган в течение 10 рабочих дней со дня его утверждения.

4.2. Периодичность проведения плановых проверок устанавливается законодательством с учетом степени риска от осуществления деятельности, связанной с предоставлением услуг ЭЦП.

4.3. Ежегодно до 1 апреля контролирующий орган готовит отчет о выполнении годового плана проверок за предыдущий год и обнародует его в сети Интернет.

4.4. Внеплановая проверка субъектов в сфере услуг ЭЦП осуществляется по решению контролирующего органа при наличии следующих оснований:

предоставления субъектом в сфере услуг ЭЦП письменного заявления контролирующему органу об осуществлении проверки по его желанию;

выявления и подтверждения недостоверности данных, заявленных в ежегодных отчетах, которые представляются аккредитованными центрами и центрами сертификации ключей в соответствии с пунктом 3.4 Положения (для аккредитованных центров и центров сертификации ключей);

проверки выполнения субъектом в сфере услуг электронной цифровой подписи предписаний относительно устранения нарушений требований законодательства, выданных по результатам проведения плановой проверки;

предоставления предложений центральным удостоверяющим органом контролирующему органу по результатам рассмотрения заявлений и жалоб относительно ненадлежащего функционирования аккредитованных центров или центров сертификации ключей (для аккредитованных центров и центров сертификации ключей);

письменного уведомления центральным удостоверяющим органом об обстоятельствах, препятствующих его деятельности (для центрального удостоверяющего органа);

письменного обращения подписывателей и пользователей относительно ненадлежащего выполнения субъектами в сфере услуг ЭЦП функций, определенных законодательством;

непредставления в установленный срок аккредитованными центрами и центрами сертификации ключей ежегодных отчетов в соответствии с пунктом 3.4 Положения без уважительных причин, а также письменных объяснений о причинах, препятствовавших предоставлению таких отчетов (для аккредитованных центров и центров сертификации ключей);

обращения суда.

4.5. Во время проведения внеплановой проверки выясняются только те вопросы, необходимость проверки которых стала основанием для осуществления этой меры, с обязательным указанием этих вопросов в удостоверении на проведение проверки.

4.6. Субъект проверки должен ознакомиться с основанием проведения внеплановой проверки с предоставлением ему копии соответствующего документа.

4.7. Срок осуществления внеплановой проверки не может превышать десяти рабочих дней. Продление срока осуществления внеплановой проверки не допускается.

4.8. О проведении плановой проверки контролирующий орган письменно уведомляет соответствующего субъекта не позднее, чем за 10 дней до начала этой проверки.

Сообщение должно содержать:

дату начала и дату окончания осуществления проверки;

наименование субъекта проверки;

наименование контролирующего органа.

Сообщение направляется заказным письмом или телефонограммой либо вручается лично руководителю или уполномоченному лицу субъекта проверки под расписку.

4.9. Субъект проверки имеет право не допускать должностных лиц контролирующего органа к осуществлению плановой проверки в случае неполучения сообщения об осуществлении проверки.

4.10. Для проведения проверки контролирующий орган издает приказ, который должен содержать наименование субъекта проверки, предмет проверки и состав комиссии по проверке (далее - Комиссия).

4.11. В состав Комиссии могут привлекаться в установленном порядке представители центрального удостоверяющего органа.

4.12. На основании приказа оформляется удостоверение на проведение проверки, которое подписывается Председателем Госспецсвязи или его заместителем и удостоверяется печатью.

В удостоверении на проведение проверки указываются:

наименование контролирующего органа;

наименование субъекта проверки;

местонахождение субъекта проверки;

номер и дата приказа, во исполнение которого осуществляется проверка;

состав Комиссии с указанием должностей, фамилий, имен и отчеств ее членов;

дата начала и дата окончания проверки;

тип проверки (плановая или внеплановая);

основания проверки;

перечень вопросов, подлежащих проверке;

информация об осуществлении предварительной проверки (тип проверки и срок ее проведения).

Удостоверение является действующим только в течение указанного в нем срока осуществления проверки.

4.13. Срок осуществления плановой проверки не может превышать пятнадцати рабочих дней. Продление срока осуществления проверки не допускается.

5. Права и обязанности Комиссии

5.1. Председатель Комиссии обязан:

обеспечить координацию работы между членами Комиссии при подготовке и проведении проверки;

организовать работу Комиссии, в том числе определить конкретные сроки, виды, объемы работ, необходимые для проведения проверки;

осуществить распределение вопросов, по которым проводится проверка, между членами Комиссии, установить порядок и режим их работы;

контролировать выполнение порученных им заданий.

5.2. Председатель Комиссии имеет право:

устанавливать для членов Комиссии дополнительные задания по проверке и осуществлять перераспределение их обязанностей;

осуществлять лично проверку любой деятельности субъекта проверки в сфере предоставления услуг ЭЦП;

запрашивать и получать от подписывателей, которым предоставляются услуги ЭЦП субъектом проверки, с их согласия, сведения необходимые для установления фактических обстоятельств, которые привели (могут привести) к нарушениям установленных требований по предоставлению услуг ЭЦП;

давать указания относительно оформления акта проверки и предписания;

давать другие указания относительно проведения проверки.

5.3. Члены Комиссии участвуют в работе Комиссии и выполняют поставленные перед ними задачи. Член Комиссии имеет право единолично, руководствуясь конкретным заданием председателя Комиссии, исследовать отдельные вопросы проверки.

5.4. Члены Комиссии обязаны:

полно, объективно и непредубежденно осуществлять проверку;

руководствоваться и соблюдать требования законодательства и нормативно-правовых актов по вопросам предоставления услуг ЭЦП и защиты информации;

добросовестно, своевременно и качественно выполнять свои служебные обязанности и поручения председателя Комиссии;

соблюдать деловую этику во взаимоотношениях с субъектами проверки;

ознакомить руководителя субъекта проверки или его заместителя, или уполномоченное им лицо с результатами проверки;

предоставлять субъекту проверки консультационную помощь относительно осуществления проверки;

не разглашать информацию с ограниченным доступом, которая стала им известна в связи с выполнением служебных обязанностей.

5.5. Члены Комиссии при выполнении своих служебных обязанностей во время проведения проверки имеют право:

свободного доступа в установленном порядке ко всем документам и информации субъекта проверки относительно предоставления им услуг ЭЦП и аккредитации, в том числе информации с ограниченным доступом;

свободного доступа в рабочее время на территорию и во все помещения субъекта проверки, в том числе специальные, которые используются для обеспечения функционирования технических средств и хранения документов по вопросам предоставления услуг ЭЦП;

изучать работу технических средств, используемых субъектом проверки для предоставления услуг в сфере ЭЦП, в том числе автоматизированных систем и программно-технического комплекса;

получать от должностных лиц информацию и пояснения (в том числе по решению председателя Комиссии - письменные) относительно их деятельности по вопросам предоставления услуг ЭЦП (аккредитации), необходимые для осуществления проверки;

получать от субъекта проверки и приобщать к материалам проверки копии документов, в том числе изготовленные методом сканирования или создания фотокопий, которые могут свидетельствовать о фактах нарушения субъектом проверки законодательства в сфере предоставления услуг ЭЦП;

предъявлять к руководителям и работникам субъекта проверки другие требования, связанные с их обязанностями, предусмотренными Положением.

5.6. Председатель и члены Комиссии несут ответственность согласно законодательству за:

необъективное отображение в акте проверки данных о деятельности субъекта проверки;

укрывательство фактов нарушений или злоупотреблений, обнаруженных во время проверки;

другие действия, совершенные в процессе проверки, которые нарушают законодательство.

6. Порядок проведения проверки

6.1. Проверка состоит из следующих этапов:

подготовка к проведению проверки;

процесс проверки;

оформление результатов проверки.

6.2. Подготовка к проведению проверки осуществляется путем:

проработки материалов предварительной проверки с целью последующего контроля за теми направлениями работы, по которым ранее были обнаружены нарушения;

анализа материалов безвыездного надзора;

изучения регламента работы субъекта проверки.

6.3. Контролирующий орган имеет право письменно запрашивать у субъектов в сфере услуг ЭЦП материалы и информацию, необходимые для проведения проверки. Субъекты в сфере услуг ЭЦП обязаны предоставить контролирующему органу всю необходимую информацию в течение пятнадцати рабочих дней после получения соответствующего запроса.

6.4. В период подготовки к проведению проверки председатель Комиссии информирует ее членов о задаче (рекомендации, указания) проверки, а также проводит инструктаж относительно порядка взаимодействия с работниками субъекта проверки.

6.5. Перед началом осуществления проверки члены Комиссии обязаны предъявить руководителю субъекта проверки или уполномоченному им лицу удостоверения и служебные удостоверения, которые удостоверяют должностных лиц контролирующего органа, и предоставить субъекту проверки копию удостоверения на проведение проверки.

6.6. Должностные лица контролирующего органа без удостоверения на осуществление проверки и служебных удостоверений не имеют права осуществлять проверку.

6.7. Руководители субъекта проверки обязаны создать необходимые условия для проведения проверки, а именно:

обеспечить на период проведения проверки каждому члену Комиссии беспрепятственный вход в/выход изо всех помещений субъекта проверки в течение всего рабочего дня при условии соблюдения порядка осуществления проверки, предусмотренного законодательством;

предоставить членам Комиссии в день начала проверки служебное помещение, оборудованное необходимой мебелью, компьютером и хранилищем для документов. На весь период проверки вход в указанное помещение лицам, не являющимся членами Комиссии, которые осуществляют проверку, без разрешения председателя Комиссии запрещается. Если нет возможности выделить Комиссии изолированное от работников субъекта проверки служебное помещение, то, с согласия ее председателя, руководители субъекта проверки должны предоставить членам Комиссии отдельное рабочее место, оборудованное таким образом, чтобы обеспечить надлежащие условия для работы Комиссии;

организовать встречу членов Комиссии с руководителями соответствующих служб, которые подлежат проверке;

обеспечить членам Комиссии свободный доступ ко всем документам и информации о деятельности субъекта проверки по вопросам предоставления услуг ЭЦП;

обеспечить предоставление в установленные членами Комиссии сроки документов и информации о деятельности субъекта проверки, пояснений (письменно и устно);

по требованию председателя Комиссии обеспечить предоставление копий документов их регистрацию в установленном порядке;

удостоверять предоставленные пояснения относительно полученной информации, документов;

обеспечивать корректное поведение своих подчиненных во время проведения проверки.

6.8. Руководители субъекта проверки имеют право:

требовать от должностных лиц контролирующего органа соблюдения требований законодательства;

проверять наличие у должностных лиц контролирующего органа служебных удостоверений и получать копии удостоверения на проведение плановой или внеплановой проверки;

не допускать должностных лиц контролирующего органа к осуществлению проверки, если:

- проверка осуществляется с нарушением требований относительно периодичности проведения проверок, предусмотренных законом;

- должностное лицо контролирующего органа не предоставило копии документов, предусмотренных Положением, или если предоставленные документы не соответствуют требованиям Положения;

присутствовать во время осуществления проверки;

требовать неразглашения информации, которая является коммерческой тайной субъекта проверки;

получать и ознакомляться с актами по результатам проверки;

предоставлять в письменной форме свои объяснения, замечания или возражения к акту проверки;

получать от председателя Комиссии разъяснения относительно действий Комиссии, связанных с проверкой;

в случае несогласования с действиями председателя и/или членов Комиссии подавать в письменном виде жалобы руководству контролирующего органа или обжаловать действия Комиссии в судебном порядке.

6.9. Перед началом проверки председатель Комиссии вносит запись в соответствующий журнал субъекта проверки (при его наличии).

6.10. Проверка осуществляется в присутствии руководителя субъекта проверки или его заместителя, или уполномоченного лица субъекта проверки.

6.11. Проверка центрального удостоверяющего органа, удостоверяющего центра проводится по Перечню вопросов, которые подлежат проверке в центральном удостоверяющем органе и удостоверяющем центре (приложение 1). Проверка аккредитованного центра проводится по Перечню вопросов, подлежащих проверке в аккредитованном центре (приложение 2). Проверка центра сертификации ключей проводится по вопросам выполнения обязанностей, определенных статьей 8 Закона Украины "Об электронной цифровой подписи".

6.12. Проверка проводиться путем изучения документов, информации, содержащейся в базах данных, собеседований с работниками субъекта проверки, анализа состояния выполнения требований нормативно-правовых актов и внутренних распорядительных документов по вопросам предоставления услуг ЭЦП.

6.13. Проверки организовываются таким образом, чтобы не нарушать режим работы субъекта проверки.

6.14. По мере выявления нарушений законодательства, злоупотреблений и недостатков руководству субъекта проверки, не дожидаясь окончания проверки, следует принимать меры по устранению обнаруженных нарушений, злоупотреблений и недостатков, предотвращению им в дальнейшем.

7. Порядок оформления результатов проверки

7.1. По результатам проверки члены Комиссии составляют акт проверки.

Акт проверки составляется в произвольной форме и содержит следующие сведения:

дату составления акта;

тип проверки (плановая или внеплановая);

предмет государственного контроля;

наименование контролирующего органа, а также должности, фамилии, инициалы председателя и членов Комиссии;

наименование субъекта проверки;

фамилия и инициалы руководителя субъекта проверки;

место проведения проверки (местонахождение субъекта проверки);

срок проведения проверки;

дату и номер удостоверения на проверку;

период, за который проводилась проверка;

описание организационной структуры субъекта проверки;

результаты предыдущей проверки;

название и короткое содержание документов, предоставленных во время проверки;

что было установлено во время проверки, в том числе осветить показатели, характеризующие работу субъекта проверки в целом;

обнаруженные во время проверки нарушения и недостатки, их влияние на состояние предоставления услуг в сфере ЭЦП;

заключения по результатам проверки;

факты противодействия проведению проверки (если такие были);

подписи председателя и членов Комиссии;

подпись руководителя субъекта проверки или лица, его заменяющего, об ознакомлении с актом проверки.

7.2. Факты нарушений, недостатков, обнаруженных во время проверки, для исключения возможности неправильного толкования представляются в акте проверки объективно, подробно и понятно. Нарушения, изложенные в акте проверки, должны иметь ссылку на конкретные пункты, статьи, разделы нормативно-правовых актов, которые нарушены. Произвольная трактовка нормативно-правовых актов не допускается.

Справочную или однородную информацию о нарушениях и недостатках, которая может быть сгруппирована, допускается излагать в приложениях к акту проверки. Если к акту проверки прилагаются копии документов, то в нем отображают этот факт с указанием их наименований и реквизитов.

7.3. Акт проверки составляется в двух экземплярах и подписывается не позже последнего дня проверки всеми членами Комиссии и руководителем субъекта проверки или лицом, его заменяющим.

7.4. Член Комиссии, который не соглашается с заключениями Комиссии, указанными в акте проверки, обязан подписать его и письменно изложить свое особое мнение, которое приобщается к акту проверки. При этом перед подписью акта проверки делается запись "С особым мнением, которое прилагается".

7.5. Если руководитель субъекта проверки имеет замечания относительно фактов и выводов, изложенных в акте проверки, то перед подписью делает запись "С замечаниями, которые прилагаются". Замечания оформляются отдельным документом и удостоверяются подписью руководителя субъекта проверки. Замечания руководителя субъекта проверки и особое мнение члена Комиссии является неотъемлемой частью акта проверки.

7.6. Если руководитель субъекта проверки отказался от ознакомления с актом проверки или от его подписания после ознакомления с ним, председатель Комиссии перед местом для подписи руководителя субъекта проверки делает соответствующую отметку, которая заверяется подписями председателя и одного из членов Комиссии.

7.7. Один экземпляр акта проверки остается в контролирующем органе, второй - в срок не больше пяти рабочих дней после завершения проверки вручается представителю субъекта проверки или направляется заказным письмом с подтверждением почтового отправления. В случае проверки аккредитованного центра, копия акта в течение пяти рабочих дней после завершения проверки направляется центральный удостоверяющий орган.

8. Порядок рассмотрения результатов проверки

8.1. На основании акта, составленного по результатам осуществления проверки, в ходе которой обнаружено нарушение требований законодательства, в течение пяти рабочих дней со дня завершения проверки составляется предписание об устранении нарушений, выявленных во время проверки. Предписание выдается и подписывается членами Комиссии, которые осуществляли проверку.

8.2. Предписание относительно устранения нарушений составляется в двух экземплярах: один экземпляр не позднее пяти рабочих дней со дня составления акта предоставляется субъекту проверки или уполномоченному им лицу для выполнения, а второй экземпляр с подписью субъекта проверки или уполномоченного им лица относительно согласованных сроков устранения нарушений требований законодательства остается в контролирующем органе.

8.3. В случае отказа субъекта проверки или уполномоченного им лица от получения предписания об устранении нарушений требований законодательства оно направляется заказным письмом, а на копии предписания, которая остается в контролирующем органе, проставляются соответствующий исходящий номер и дата направления.

8.4. Руководитель субъекта проверки должен принять меры по устранению недостатков и нарушений, указанных в предписании, в течение определенного срока.

8.5. Субъект проверки обязан в установленный в предписании срок письменно представить контролирующему органу информацию об устранении нарушений вместе с подтверждающими это документами.

8.6. В случае установления по результатам проведенной проверки аккредитованного центра и центра сертификации ключей фактов (признаков) компрометации личного ключа нарушения требований законодательства в сфере услуг ЭЦП, не устраненных за установленный в предписании срок, недостоверных данных, указанных в сертификате ключа, контролирующим органом рассматриваются предоставленные материалы и в соответствии со статьей 12 Закона Украины "Об электронной цифровой подписи" решаются вопросы об издании распоряжения центральному удостоверяющему органу о принятии мер в отношении субъекта проверки (далее - распоряжение центральному удостоверяющему органу) в соответствии с законом.

8.7. Распоряжение центральному удостоверяющему органу может содержать требование об отмене сертификата ключа аккредитованного центра или центра сертификации ключей.

8.8. Распоряжение центральному удостоверяющему органу обязательно должно содержать:

дату составления;

наименование контролирующего органа, а также должности, фамилии, имена и отчества членов Комиссии, осуществивших проверку;

наименование и местонахождение субъекта проверки, а также фамилию, имя и отчество его руководителя или уполномоченного им лица, в отношении деятельности которого осуществлялась проверка;

обстоятельства, при которых обнаружены нарушения (тип, срок проверки, номер и дата акта проверки или ссылки на другой источник информации);

обоснованные основания издания распоряжения центральному удостоверяющему органу;

требование о принятии мер в отношении субъекта проверки.

8.9. На основании распоряжения центральному удостоверяющему органу он принимает меры в отношении субъекта проверки, предусмотренные законом.

Приложение 1

к пункту 6.11 Положения о порядке осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи

Перечень вопросов, подлежащих проверке в центральном удостоверяющем органе и удостоверяющем центре

1. Организационные вопросы

1.1. Соответствие специального помещения установленным требованиям, организация охраны специального помещения и порядок доступа в специальное помещение.

1.2. Наличие действующего экспертного заключения на программно-технический комплекс, выданного по результатам государственной экспертизы в сфере криптографической защиты информации.

1.3. Наличие аттестата соответствия комплексной системы защиты информации требованиям нормативных документов по вопросам защиты информации, соответствие состава программных и технических средств, указанных в экспертном заключении к аттестату соответствия комплексной системы защиты информации.

1.4. Наличие согласованного с контролирующим органом регламента работы.

1.5. Наличие штатных или наемных по договору специалистов, назначенных на должности администратора безопасности, администратора сертификации, администратора регистрации, системного администратора, наличие положения, которым определяются должностные обязанности, квалификационные требования и ответственность должностных лиц, деятельность которых непосредственно связана с предоставлением услуг ЭЦП и обслуживанием сертификатов ключей. Знание должностных обязанностей лицами, деятельность которых непосредственно связана с предоставлением услуг ЭЦП и обслуживанием сертификатов ключей.

1.6. Наличие нормативных документов, которые определяют порядок обеспечения безопасности эксплуатации программно-технического комплекса, порядок генерации ключевых данных и обращения с ключевыми документами. Наличие службы защиты информации, а также положение о службе защиты информации.

1.7. Взятие на учет программно-технического комплекса и других используемых средств криптографической защиты информации.

1.8. Порядок хранения резервных копий сертификатов и списков отозванных сертификатов.

1.9. Соблюдение требований по защите информации, которая обрабатывается в автоматизированных системах центрального удостоверяющего органа (удостоверяющего центра).

2. Технические и технологические вопросы

2.1. Ведение журналов аудита относительно событий, связанных с генерацией, использованием и уничтожением личного ключа.

2.2. Размещение, хранение, доступ и использование личного ключа.

2.3. Размещение, хранение и доступ к резервной копии личного ключа.

2.4. Порядок регистрации (формирование сертификата ключа) центра сертификации ключей. Соответствие порядка регистрации политике сертификации и регламенту работы.

2.5. Хранение сформированных сертификатов ключей, а также сертификатов и документируемой информации, которая подлежит обязательной передаче центрами сертификации ключей в случае прекращения их деятельности.

2.6. Соответствие содержания сформированных сертификатов установленным законодательством требованиям.

2.7. Размещение на электронном информационном ресурсе документов и информации, установленных политикой сертификации.

2.8. Ведение журналов аудита относительно событий, связанных с формированием, отменой, блокировкой и восстановлением сертификатов ключей.

2.9. Функционирование электронного информационного ресурса относительно предоставления доступа к основным данным (реквизитам) аккредитованных центров, центров сертификации ключей, перечню сертификатов центров сертификации ключей, а также информации о статусе сертификатов.

2.10. Ведение журналов аудита программно-технического комплекса.

3. Вопросы, связанные с аккредитацией центров сертификации ключей

3.1. Сведения, которые предоставляют центры сертификации ключей для аккредитации.

3.2. Программы, методики и результаты (протоколы) исследований относительно соответствия центра сертификации ключей установленным требованиям для аккредитованного центра сертификации ключей.

3.3. Ведение Реестра субъектов, которые предоставляют услуги, связанные с электронной цифровой подписью.

3.4. Результаты рассмотрения заявлений и жалоб относительно ненадлежащего функционирования центров сертификации ключей.

Приложение 2

к пункту 6.11 Положения о порядке осуществления государственного контроля за соблюдением требований законодательства в сфере предоставления услуг электронной цифровой подписи

Перечень вопросов, которые подлежат проверке в аккредитованном центре

1. Организационные вопросы

1.1. Достоверность сведений, приведенных в документах, представленных центром сертификации ключей для аккредитации, соответствие сведений, которые указаны в свидетельстве об аккредитации.

1.2. Наличие специального счета для обеспечения возмещения убытков, которые могут быть нанесены вследствие ненадлежащего выполнения аккредитованным центром своих обязательств.

1.3. Соответствие специального помещения установленным требованиям, организация охраны специального помещения и порядок доступа в специальное помещение.

1.4. Наличие действующего экспертного заключения на программно-технический комплекс, выданного по результатам государственной экспертизы в сфере криптографической защиты информации.

1.5. Наличие аттестата соответствия комплексной системы защиты информации требованиям нормативных документов по вопросам защиты информации, соответствие состава программных и технических средств, указанных в экспертном заключении к аттестату соответствия комплексной системы защиты информации.

1.6. Наличие согласованного с контролирующим органом регламента работы.

1.7. Наличие штатных или наемных по договору специалистов, назначенных на должности администратора безопасности, администратора сертификации, администратора регистрации, системного администратора, наличие положения, которым определяются должностные обязанности, квалификационные требования и ответственность должностных лиц, деятельность которых непосредственно связана с предоставлением услуг ЭЦП и обслуживанием сертификатов ключей. Знание должностных обязанностей лицами, деятельность которых непосредственно связана с обслуживанием сертификатов ключей.

1.8. Наличие нормативных документов, определяющих порядок обеспечения безопасности эксплуатации программно-технического комплекса, порядок генерации ключевых данных и обращения с ключевыми документами. Наличие службы защиты информации, а также положения о службе защиты информации.

1.9. Взятие на учет программно-технического комплекса и других используемых средств криптографической защиты информации.

1.10. Соответствие положений типового договора о предоставлении услуг ЭЦП требованиям, определенным в политике сертификации.

1.11. Ведение учета заключенных договоров о предоставлении услуг ЭЦП, а также документов или их копий, которые предоставляются во время регистрации подписывателей. Обеспечение защиты персональных данных пользователей.

1.12. Порядок хранения резервных копий сертификатов и списков отозванных сертификатов.

1.13. Порядок синхронизации со Всемирным координированным временем (UTC);

1.14. Соблюдение требований по защите информации, которая обрабатывается в автоматизированных системах аккредитованного центра.

2. Технические и технологические вопросы, связанные с обслуживанием сертификатов ключей

2.1. Ведение журналов аудита относительно событий, связанных с генерацией, использованием и уничтожением личного ключа.

2.2. Размещение, хранение, доступ и использование личного ключа.

2.3. Размещение, хранение и доступ к резервной копии личного ключа.

2.4. Предоставление помощи по генерации личных ключей подписывателей.

2.5. Порядок регистрации подписывателей (юридических и физических лиц). Соответствие порядка регистрации подписывателей политики сертификации и регламента работы. Работа обособленных пунктов регистрации (в случае наличия) относительно регистрации подписывателей.

2.6. Хранение сформированных сертификатов ключей.

2.7. Соответствие содержания сформированных сертификатов установленным законодательством требованиям, в частности относительно использования идентификатора политики сертификации в сертификатах и обязательных реквизитов опознавательного имени подписывателя.

2.8. Размещение на электронном информационном ресурсе документов и информации, установленных политикой сертификации.

2.9. Управление статусом сертификатов. Соответствие порядка блокировки, восстановления и отмены сертификатов ключей политике сертификации и регламента работы.

2.10. Ведение журналов аудита относительно событий, связанных с формированием, отменой, блокировкой и восстановлением сертификатов ключей.

2.11. Функционирование электронного информационного ресурса относительно предоставления доступа к сертификатам аккредитованного центра, другим сертификатам, которые сформированы аккредитованным центром, а также информации о статусе сертификатов.

2.12. Предоставление других услуг ЭЦП, предусмотренных регламентом работы.

2.13. Ведение журналов аудита программно-технического комплекса.