ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 24 травня 2017 р. № 387
ПОРЯДОК
функціонування інтегрованої автоматизованої
системи державного нагляду (контролю), внесення відомостей
до неї та строки розміщення цих відомостей
Загальні питання
1. Цей Порядок визначає механізм функціонування інтегрованої автоматизованої системи державного нагляду (контролю) (далі — система), внесення відомостей до неї та строки розміщення цих відомостей.
2. Терміни, що вживаються в цьому Порядку, мають таке значення:
користувач — суб’єкт господарювання, що провадить відповідний вид господарської діяльності, який підлягає державному нагляду (контролю) відповідно до закону, громадське об’єднання в особі його уповноваженого представника;
суб’єкт наповнення — посадова особа органу державного нагляду (контролю) або посадова особа ДРС, що уповноважена вносити відомості до системи;
персональний електронний кабінет — індивідуальна персоніфікована веб-сторінка, за допомогою якої вносяться до системи відомості суб’єктом наповнення та здійснюється електронний обмін інформацією між користувачем та суб’єктом наповнення.
Інші терміни вживаються у значенні, наведеному в Законах України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності” та “Про захист інформації в інформаційно-телекомунікаційних системах”.
3. Держателем системи є ДРС, що забезпечує її створення та функціонування.
4. Технічним адміністратором системи є державне підприємство “Національні інформаційні системи” (далі — державне підприємство), що здійснює заходи з адміністрування і програмного супроводження системи, несе відповідальність за збереження її даних, захищає їх від несанкціонованого доступу та знищення, а також забезпечує її цілодобову безперебійну роботу, здійснює заходи з надання/блокування доступу до системи, проводить навчання щодо роботи із системою.
5. Обробка та захист інформації в системі здійснюються відповідно до вимог Законів України “Про захист персональних даних” та “Про захист інформації в інформаційно-телекомунікаційних системах”.
Призначення системи та основні вимоги до неї
6. Система забезпечує доступ суб’єктів господарювання та органів державної влади, органів місцевого самоврядування до інформації про заходи державного нагляду (контролю) з використанням Інтернету.
7. Система призначена для:
збереження та систематизації відомостей про заходи державного нагляду (контролю);
автоматизованого виявлення суб’єктів господарювання, які на відповідний плановий період включені до річних планів здійснення заходів державного нагляду (контролю) одночасно кількох органів державного нагляду (контролю), та формування проекту плану здійснення комплексних заходів державного нагляду (контролю) на плановий період.
8. Система розміщується на програмно-апаратному комплексі державного підприємства.
Доступ суб’єктів наповнення до системи надається на підставі договору, укладеного з державним підприємством.
9. Усі суб’єкти наповнення представлені окремими персональними електронними кабінетами в системі, доступ до яких здійснюється з використанням електронного цифрового підпису з посиленим сертифікатом відкритих ключів на захищеному носії.
10. Персональні електронні кабінети є складовою частиною системи, мають єдиний формат розміщення інформації, стиль та інтерфейси.
11. Суб’єкти наповнення використовують єдині інформаційні довідники, реєстри та ідентифікатори.
12. Кожен користувач може мати персональний електронний кабінет у системі, ідентифікація та автентифікація в якому здійснюється за допомогою засобів електронного цифрового підпису, в тому числі посиленого сертифіката відкритого ключа електронного цифрового підпису та захищеного носія особистих ключів.
13. Система надає функціональні можливості для електронної комунікації в режимі реального часу між суб’єктами наповнення та користувачами.
14. Система розроблена з урахуванням забезпечення сумісності та взаємодії з іншими інформаційними системами та мережами, що складають державні інформаційні ресурси.
15. Система забезпечує можливість отримання відомостей з Єдиного державного порталу адміністративних послуг та Єдиного державного реєстру юридичних осіб, фізичних осіб — підприємців та громадських формувань.
16. Система функціонує цілодобово сім днів на тиждень.
17. Доступ до відомостей системи (крім реєстраційних номерів облікових карток платників податків та паспортних даних), визначених у частині другій статті 41 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”, здійснюється через відкритий інформаційний ресурс Інтернету та є безоплатним.
18. Функціональні можливості системи забезпечують:
пошук за ключовими словами в полях опису найменування або ідентифікаційного коду згідно з ЄДРПОУ юридичних осіб та прізвища, імені, по батькові фізичних осіб — підприємців;
класифікацію та пошук заходів державного нагляду (контролю) за формою їх проведення;
формування річних планів органів державного нагляду (контролю), плану здійснення комплексних заходів державного нагляду (контролю) на плановий період та звітів про стан виконання зазначених планів;
захист даних від несанкціонованого доступу, знищення, модифікації шляхом здійснення організаційних і технічних заходів, упровадження засобів та методів технічного захисту інформації;
розмежування та контроль за доступом до інформації;
реєстрацію подій, що відбуваються в системі і стосуються її безпеки;
наявність зрозумілих для суб’єктів наповнення та користувачів інтерфейсів;
ідентифікацію суб’єктів наповнення;
ідентифікацію користувачів.
Структура системи
19. До структури системи входять:
підсистема управління змістовим наповненням системи, призначена для автоматизованого формування проекту плану здійснення комплексних заходів державного нагляду (контролю) органів державного нагляду (контролю) на плановий період та збереження відомостей про заходи державного нагляду (контролю);
відкритий інформаційний ресурс, який забезпечує доступ до відомостей системи;
підсистема адміністратора системи для підтримки його функціонування та надання права на доступ до системи;
модулі адміністрування системи зареєстрованих суб’єктів наповнення;
компонент взаємодії з іншими інформаційними системами, реєстрами та класифікаторами;
модуль розсилки інформації;
модуль зворотного зв’язку;
підсистема взаємодії з інформаційною системою електронної взаємодії державних електронних інформаційних ресурсів;
комплексна система захисту інформації;
персональні електронні кабінети зареєстрованих користувачів та суб’єктів наповнення;
модуль забезпечення доступу та взаємодії між суб’єктами наповнення та користувачами.
Наповнення системи
20. У системі розміщуються відомості, визначені частиною другою статті 41 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”.
21. Наповнення системи забезпечується суб’єктами наповнення шляхом розміщення та оновлення відомостей про заходи державного нагляду (контролю) через завантаження даних до системи.
22. Якщо документ містить інформацію з обмеженим доступом, до системи вноситься лише інформація, доступ до якої не є обмеженим.
23. Система забезпечує можливість розміщення та оновлення відомостей шляхом автоматичного завантаження даних.
24. Система забезпечує можливість перевірки суб’єктами наповнення відомостей перед їх розміщенням.
Внесення відомостей про заходи
державного нагляду (контролю) до системи
25. Відомості, визначені абзацами другим — восьмим частини другої статті 41 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”, та зміни до них вносяться до системи суб’єктами наповнення не пізніше трьох робочих днів з дня прийняття рішення, в якому містяться відповідні відомості чи зміни до них.
Відомості, визначені абзацами дев’ятим — тринадцятим частини другої статті 41 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”, вносяться до системи суб’єктами наповнення не пізніше наступного робочого дня з дня прийняття рішення, в якому містяться відповідні відомості.
26. Суб’єкти наповнення органів державного нагляду (контролю) не пізніше 15 жовтня року, що передує плановому, забезпечують внесення до системи відомостей про заходи державного нагляду (контролю) щодо тих суб’єктів господарювання, діяльність яких підлягає плановим заходам державного нагляду (контролю) у плановому періоді, із зазначенням відомостей, визначених пунктом 20 цього Порядку.
27. Проект плану здійснення комплексних заходів державного нагляду (контролю) на плановий період складається системою за формою згідно з додатком та оприлюднюється на веб-сторінці із загальним доступом не пізніше 17 жовтня року, що передує плановому.
28. У разі потреби органи державного нагляду (контролю) узгоджують між собою інші дати початку та строки здійснення комплексних планових заходів державного нагляду (контролю).
29. Узгоджені пропозиції щодо зміни дати початку та строку здійснення комплексних планових заходів державного нагляду (контролю) надсилаються органами державного нагляду (контролю) до ДРС не пізніше 1 листопада року, що передує плановому.
30. Суб’єкти наповнення ДРС протягом одного робочого дня з моменту отримання відомостей, визначених у пункті 29 цього Порядку, вносять відповідні зміни до системи.
31. Суб’єкти наповнення ДРС вносять до 15 листопада року, що передує плановому, до системи відомості про дату і номер наказу про затвердження плану здійснення комплексних заходів державного нагляду (контролю) на плановий період.
Загальний доступ до затвердженого плану здійснення комплексних заходів державного нагляду (контролю) на плановий період забезпечується системою шляхом його розміщення на веб-сторінці із загальним доступом.
32. Суб’єкти наповнення органів державного нагляду (контролю) вносять до 1 грудня року, що передує плановому, до системи акти органів державного нагляду (контролю), якими затверджені річні плани здійснення заходів державного нагляду (контролю) на відповідний плановий період.
33. Звіт про виконання річних та комплексного планів заходів державного нагляду (контролю) за попередній рік суб’єкти наповнення вносять до системи до 1 квітня планового року.
Вимоги до захисту інформації, розміщеної в системі
34. Відомості, внесені до системи, повинні бути захищені відповідно до вимог законодавства у сфері захисту інформації.
35. Захист інформації, розміщеної в системі, забезпечується із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в установленому законодавством порядку.
36. Комплексна система захисту інформації повинна забезпечувати такі основні функції:
розмежування доступу суб’єктів наповнення та користувачів до захищених ресурсів системи;
регламентацію дій суб’єктів наповнення та користувачів під час доступу та обробки захищених ресурсів системи;
ідентифікацію та автентифікацію суб’єктів наповнення та користувачів;
перевірку повноважень суб’єктів наповнення та користувачів і надання їм права на виконання певних дій з обробки захищених ресурсів (читання, модифікація, знищення, внесення інформації тощо);
реєстрацію подій, пов’язаних із доступом до захищених ресурсів системи та дії з ними, результатів ідентифікації та автентифікації суб’єктів наповнення та користувачів, фактів зміни повноважень суб’єктів наповнення та користувачів, результатів перевірки цілісності засобів захисту інформації тощо;
блокування несанкціонованих дій щодо захищених ресурсів системи;
захист захищених ресурсів системи під час їх передачі через незахищене середовище;
захист системи від мережевих атак з боку Інтернету;
антивірусний захист інформації, яка обробляється в системи;
забезпечення цілісності програмного забезпечення, яке використовується для обробки захищених ресурсів системи.
37. Забезпечення конфіденційності, цілісності і доступності інформації, яка обробляється в системі, здійснюється згідно з прийнятою політикою безпеки.
38. Реєстраційні дані системи повинні бути захищеними від несанкціонованої модифікації та знищення суб’єктами наповнення та користувачами, які не мають повноважень адміністратора безпеки.
39. Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
Функції служби захисту інформації покладаються на державне підприємство.