Які криптографічні послуги найбільш ризикові?

Набрав чинності ще один документ, яким запроваджуються ризико-орієнтовані механізми контролю – постанова Кабінету Міністрів України «Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України, і встановлюється періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації» від 31 жовтня 2018 р. № 915.

До критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності, що підлягає ліцензуванню, у сфері захисту інформації, визначено:

1) щодо криптографічного захисту інформації (крім електронних довірчих послуг):

• вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх 2 років, що передують плановому;
• вид послуг у галузі криптографічного захисту інформації, що надаються суб’єктом господарювання станом на будь-яку дату протягом останніх 2 років, що передують плановому періоду;
• наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) протягом останніх 2 років, що передують плановому;
• обсяг розроблення, виробництва, монтажу, обслуговування, утилізації, тощо, тематичних та експертних досліджень криптосистем, засобів криптографічного захисту інформації, конструкторської та іншої технічної документації;
• строк провадження ліцензованої діяльності;

2) щодо технічного захисту інформації:

• вид інформації за порядком доступу, щодо якої надаються послуги протягом останніх 2 років, що передують плановому;
• вид послуг у галузі технічного захисту інформації, що надаються станом на будь-яку дату протягом останніх двох років, що передують плановому періоду;
• тип системи, щодо яких надаються послуги у сфері технічного захисту інформації;
• надання послуг із захисту мовної інформації з обмеженим доступом;
• приналежність об’єкта, щодо якого надаються послуги у сфері технічного захисту інформації, до об’єкта критичної інфраструктури;
• наявність порушень вимог ліцензійних умов у сфері надання послуг у галузі технічного захисту інформації протягом останніх двох років, що передують плановому.

Ризики настання негативних наслідків від провадження діяльності та вичерпний перелік критеріїв, за якими оцінюється ступінь ризику, їх показники визначені в відповідно додатках 1 та 2 до постанови.

Визначено також, що планові заходи державного нагляду здійснюються з такою періодичністю:

• з високим ступенем ризику – не частіше 1 разу на 2 роки;
• із середнім ступенем ризику – не частіше 1 разу на 3 роки;
• з незначним ступенем ризику – не частіше 1 разу на 5 років.

Щоб дізнатись ступінь ризику, варто визначити кількість балів у відношення до критеріїв за додатком № 2. Так, при сумі від 0 до 20 балів – незначний ступінь; від 21 до 40 балів – середній; від 41 до 100 балів – високий;

У разі коли за результатами планових та позапланових заходів протягом останніх 6 років для суб’єктів середньої групи та 10 років для суб’єкта незначного ступеня не виявлено суттєвих порушень вимог законодавства, то наступна планова перевірка проводиться не раніше ніж через установлений для відповідного ступеня ризику період, збільшений у 1,5 рази (тобто 4,5 та 7,5 років відповідно).

Поділитися

Твітнути