Пошук

Розширений пошук
null
Головна » Регуляторна діяльність » Оприлюднення проектів регуляторних актів


версія для друку
1 листопада 2019

АНАЛІЗ РЕГУЛЯТОРНОГО ВПЛИВУ

до проєкту постанови Кабінету Міністрів України

«Про затвердження Технічного регламенту засобів криптографічного захисту інформацією»

 

I. Визначення проблеми

На сьогодні розроблення, виробництво, експлуатація та експертна оцінка засобів криптографічного захисту інформації (далі – засоби КЗІ) здійснюється відповідно до таких нормативно-правових актів України:

Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затверджене наказом Адміністрації Держспецзв'язку від 20.07.2007 № 141, зареєстроване в Мін’юсті 30.07.2007 за № 862/14129 (далі – Положення № 141);

Положення про державну експертизу в сфері криптографічного захисту інформації, затверджене наказом Адміністрації Держспецзв'язку від 23.06.2008 № 100, зареєстроване в Мін’юсті 16.07.2008 № 651/15342 (далі – Положення № 100).

У зв’язку з втратою чинності Декретом Кабінету Міністрів України від 10 травня 1993 року № 46-93 «Про стандартизацію і сертифікацію», наказ Адміністрації Держспецзв'язку, Державного комітету України з питань технічного регулювання та споживчої політики від 25 квітня 2007 року № 75/91 «Про затвердження Правил проведення робіт із сертифікації засобів захисту інформації», зареєстрований в Мін’юсті 14 травня 2007 року за № 498/13765 (далі – Правила сертифікації), визнано таким, що втратив чинність 19 січня 2018 року. Слід зазначити, що Правила сертифікації визначали процедуру добровільної сертифікації засобів захисту інформації, зокрема засобів КЗІ.

В той же час низкою нормативно-правових актів встановлено такі вимоги з підтвердження відповідності засобів КЗІ встановленим вимогам:

відповідно до статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби КЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері КЗІ;

відповідно до статті 19 Закону України «Про електронні довірчі послуги» відповідність засобів кваліфікованого електронного підпису чи печатки (згідно з Положенням № 141 – засоби категорії «П») відповідним вимогам, що встановлюються Кабінетом Міністрів України, підтверджується документами про відповідність або позитивними експертними висновками за результатами їх державної експертизи у КЗІ;

відповідно до пункту 8 Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505/98, для криптографічного  захисту конфіденційної  інформації використовуються  криптосистеми і засоби КЗІ, які мають сертифікат відповідності.

Здійснення експертизи продукції та оцінка відповідності продукції регулюються основоположними законами, які визначають основні засади проведення таких процедур, відповідно Законом України «Про науково-технічну експертизу» та Законом України «Про технічні регламенти та оцінку відповідності».

Так, Закон України «Про науково-технічну експертизу» визначає правові,  організаційні і фінансові основи експертної діяльності в науково-технічній сфері, а також загальні основи і принципи регулювання суспільних відносин у галузі організації та проведення наукової та науково-технічної експертизи з метою забезпечення наукового обґрунтування структури і змісту пріоритетних   напрямів розвитку науки і техніки, наукових, науково-технічних, соціально-економічних, екологічних програм і проектів, визначення напрямів науково-технічної діяльності, аналізу та оцінки ефективності використання науково-технічного потенціалу, результатів досліджень. Відповідно до статті 5 Закону України «Про науково-технічну експертизу» об'єктами наукової та науково-технічної експертизи можуть бути, зокрема, діючі об'єкти техніки, стосовно  яких виникає потреба отримати науково обґрунтовані експертні висновки.

Закон України «Про технічні регламенти та оцінку відповідності» регулює відносини, що виникають у зв’язку з розробленням та прийняттям технічних регламентів і передбачених ними процедур оцінки відповідності, їх застосуванням стосовно продукції, яка вводиться в обіг, надається на ринку або вводиться в експлуатацію в Україні, а також здійсненням добровільної оцінки відповідності та поширюється на всі види продукції у тому числі засоби КЗІ.

Слід зазначити, що 03.07.2019 Законом України «Про внесення змін до деяких законодавчих актів України щодо імплементації актів законодавства Європейського Союзу у сфері технічного регулювання» внесено зміни до Закону України «Про технічні регламенти та оцінку відповідності», зокрема до частини четвертої статті 2, встановивши що дія положень означеного Закону, що стосуються призначення органів з оцінки відповідності та призначених органів, а також розділів VI, VII і VIII (крім частини першої статті 45), не поширюється на заходи щодо державної експертизи у сферах криптографічного захисту службової інформації та інформації, що становить державну таємницю, а також технічного захисту інформації, вимога щодо захисту якої встановлена законом.

Положення № 141 по суті правового регулювання є технічним регламентом, водночас не у повній мірі відповідає вимогам Закону України «Про технічні регламенти та оцінку відповідності» та не враховує міжнародні вимоги щодо оцінки безпеки продукції із застосуванням міжнародних стандартів: ISO/IEC 19790 «Інформаційні технології. Методи захисту. Вимоги щодо захисту криптографічних модулів» та ISO/IEC 15408 «Інформаційні технології — Методи забезпечення безпеки — Критерії оцінки безпеки інформаційних технологій» (далі – міжнародні вимоги з безпеки).

Таким чином на сьогодні Положення № 141 не відповідає вимогам Закону України «Про технічні регламенти та оцінку відповідності», сучасному рівню наукових і технічних знань та відсутній нормативно-правовий акт, який би визначав процедури оцінки відповідності засобів КЗІ вимогам Технічного регламенту відповідно до вимог означеного Закону.

Відсутність такого нормативно-правового акту призводить до використання в комплексних системах захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та схемах електронної ідентифікації середнього та високого рівнів довіри, засобів КЗІ, що не відповідають міжнародним вимогам з безпеки.

Важливість і необхідність прийняття регуляторного акта також зумовлена необхідністю виконання вимог:

статті 394 та додатку XVII–3 Угоди про асоціацію між Україною з однієї сторони, та Європейським Союзом, Європейським Співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони (далі – Угода про асоціацію) щодо імплементації Регламенту (ЄС) 910/2014 Європейського Парламенту та Ради від 23 липня 2014 р. щодо електронної ідентифікації та довірчих послуг для цілей електронних трансакцій на внутрішньому ринку, що скасовує Директиву 1999/93/ЄС Європейського Парламенту та Ради (далі - Регламент ЄС 910);

пункту 2 частини третьої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» щодо забезпечення функціонування національної системи кібербезпеки шляхом гармонізації міжнародних стандартів у сфері захисту інформації та інформаційної безпеки.

Проєкт Технічного регламенту на засоби криптографічного захисту інформації (далі – проєкт Технічного регламенту) розроблений з урахуванням і відповідно до законів України «Про загальнодержавну програму адаптації законодавства України до законодавства Європейського Союзу», «Про технічні регламенти та оцінку відповідності» та пункту 38 Плану розроблення технічних регламентів на 2019 рік, затвердженого наказом Мінекономрозвитку від 05.03.2019 № 347.

За допомогою ринкових механізмів проблема не може бути розв’язана, оскільки потребує державного врегулювання, так як відповідно до частини другої статті 23 Закону України «Про стандартизацію», національні стандарти та кодекси усталеної практики застосовуються на добровільній основі, крім випадків, якщо обов’язковість їх застосування встановлена нормативно-правовими актами.

За допомогою діючих регуляторних актів проблема також не може бути вирішена, оскільки відсутні регуляторні акти, що визначають процедуру оцінки відповідності засобів КЗІ відповідно до вимог Закону України «Про технічні регламенти та оцінку відповідності». Відповідно до частини четвертої цього Закону технічні регламенти, якими передбачене застосування процедур оцінки відповідності, затверджуються законами або актами Кабінету Міністрів України.

Основними показниками, що характеризують обсяги ринку засобів КЗІ, призначених для захисту конфіденційної інформації, є:

кількість розробників засобів КЗІ;

кількість засобів КЗІ, що мають чинні експертні висновки у сфері КЗІ;

кількість щорічно виданих експертних висновків на засоби КЗІ за останні 5 років;

термін дії експертних висновків;

кількість користувачів засобів КЗІ.

На цей час провадять діяльність з розроблення засобів КЗІ 12 суб’єктів господарювання.

Діяльність з розповсюдження та використання засобів КЗІ здійснюється на договірних засадах та отримання інформації щодо їх кількості практично неможливо. Припускається, що вимоги Технічного регламенту будуть поширюватися на 100 суб’єктів господарювання (виробники, уповноважені представники, імпортери та розповсюджувачі), щодо яких покладатиметься обов’язок надавати органам державного ринкового нагляду за їх запитами інформацію, що дає змогу ідентифікувати:

будь-якого суб’єкта господарювання, який поставив їм засоби КЗІ;

будь-якого суб’єкта господарювання, якому вони поставили засоби КЗІ.

Суб’єкти господарювання повинні надавати зазначену інформацію протягом 10 років після того, як їм було поставлено засоби КЗІ, і протягом 10 років після того, як вони поставили засоби.

Слід зазначити, що засоби КЗІ масово застосовуються у якості засобів кваліфікованого електронного підпису чи печатки, у схемах електронної ідентифікації (паспорт громадянина України, ID-картка, електронні посвідчення) та у платіжних засобах (банківські картки).

Припускається, що кількість користувачів засобів КЗІ (фізичні особи – громадяни, юридичні особи у тому числі суб’єкти господарювання) складає понад 10 млн. осіб.

Протягом останніх 5 років та протягом 2019 року видано 203 експертних висновків за результатами державної експертизи у сфері КЗІ, що в середньому становить 34 висновки на рік:

 

Рік

2014

2015

2016

2017

2018

2019

2014-2019

Кількість програмних засобів КЗІ

15

11

14

19

6

9

74

Кількість програмно-апаратних засобів КЗІ

39

23

20

7

17

23

129

Загальна кількість

54

34

34

26

23

32

203

Середня вартість проходження 1 державної експертизи у сфері КЗІ складає 50 000,00 грн.

На цей час додатком 5 Положення № 100 передбачено такі варіанти схем проведення експертизи засобів КЗІ:

 

Засоби, що проходять експертизу

Контроль за виробництвом

Експертні дослідження

Документ, що видається, термін його дії

Одиночні засоби

Не проводиться

Здійснюються для кожного засобу

Експертний висновок на кожний засіб терміном дії до 3 років

Партія засобів

Не проводиться

Здійснюються для засобів, відібраних у порядку та кількості, визначених Адміністрацією Держспецзв'язку

Експертний висновок на партію засобів терміном дії до 3 років

Засоби, що виготовляються серійно

Здійснюється

Здійснюються для засобів, відібраних у порядку та кількості, визначених Адміністрацією Держспецзв'язку

Експертний висновок на засоби, що виготовлені серійно, терміном дії до 5 років

 

Прийняття проєкту Технічного регламенту запровадить обов’язковість вимог національних стандартів у сфері безпеки інформації до засобів КЗІ, процедуру оцінки відповідності засобів КЗІ відповідно до вимог Закону України «Про технічні регламенти та оцінку відповідності», що дозволить підвищити рівень кіберзахисту та сприятиме виконанню Угоди про асоціацію.
Крім цього проєктом постанови Кабінету Міністрів України «Про затвердження Технічного регламенту засобів криптографічного захисту інформацією» передбачено перехідний період у застосуванні вимог Технічного регламенту
та встановлено, що не може бути заборонено або обмежено надання на ринку та введення в експлуатацію з причин невідповідності вимогам Технічного регламенту засобів КЗІ які введено в обіг до дня набрання чинності цією постановою та відповідають вимогам Положення № 141 та Положення № 100.

 

Основні групи (підгрупи), на які проблема справляє вплив:

 

Групи (підгрупи)

Так

Ні

Громадяни

+

 

Держава

+

 

Суб'єкти господарювання

+

 

у тому числі суб’єкти малого підприємництва

+

 

II. Цілі державного регулювання

Основними цілями розроблення проекту постанови є:

забезпечення відповідності засобів КЗІ вимогам з безпеки, визначених  міжнародними та європейськими національними стандартами України;

запровадження незалежної оцінки відповідності засобів КЗІ відповідно до вимог Закону України «Про технічні регламенти та процедури оцінки відповідності»;

імплементація вимог Регламенту ЄС 910 з безпеки засобів КЕП (засоби КЗІ категорії «Е»), що є зобов’язанням України в рамках виконання Угоди про асоціацію;

сприяння сумісності засобів КЗІ України та НАТО;

підвищення рівня доступності послуг електронного урядування з використанням засобів КЗІ;

підвищення рівня кіберзахисту.

Цей проект регуляторного акта має сприяти в цілому розв’язанню проблеми, зазначеної в попередньому розділі аналізу регуляторного впливу.

III. Визначення та оцінка альтернативних способів досягнення цілей

1. Визначення альтернативних способів

Вид альтернативи

Опис альтернативи

Альтернатива 1

Прийняття проекту постанови

Забезпечить здійснення технічного регулювання засобів КЗІ відповідно до вимог Закону України «Про технічні регламенти та оцінку відповідності», що відповідає вимогам СОТ та ЄС, та визнання результатів оцінки відповідності відповідно до Угоди про визнання між Національним агентством з акредитації України та Європейською асоціацією з акредитації

Альтернатива 2 Збереження чинного регулювання

Така альтернатива досягнення цілей державного регулювання суперечитиме акту вищої юридичної сили, оскільки діючі Положення № 141 та Положення № 100 не передбачають виконання вимог Закону України «Про технічні регламенти та оцінку відповідності» щодо змісту технічного регламенту та застосування модулів оцінки відповідності, визначених Кабінетом Міністрів України

 2. Оцінка вибраних альтернативних способів досягнення цілей

Оцінка впливу на сферу інтересів держави

Вид альтернативи

Вигоди

Витрати

Альтернатива 1.

Прийняття проекту постанови

 

Високі,
створення умов для належного функціонування національної системи кібербезпеки1;

створення умов для міжнародного співробітництва у сфері електронних довірчих послуг та електронної ідентифікації2;

створення нових робочим місць шляхом запровадження органів з оцінки відповідності у сфері КЗІ

Витрати на адміністрування заходів ринкового нагляду засобів КЗІ складатимуть 42 000,00 грн. за 5 років.

Впровадження вимог регуляторного акта державними органами не потребує додаткових витрат з бюджету, оскільки здійснюватиметься в межах повноважень відповідних органів та діючого законодавства

Альтернатива 2.

Збереження чинного регулювання

Відсутні,
оскільки дана ситуація призведе до відставання технологій з розроблення та оцінки засобів КЗІ від кращих міжнародних практик.

Вразливості системи  кіберзахисту через недосконалість засобів КЗІ1.

Не виконання зобов’язань в рамках Угоди про асоціацію2. Порушення вимог Закону України «Про технічні регламенти та оцінку відповідності»

 

Примітка. 1. Кібератаки щороку завдають збитків державним установам, підприємствам, організаціям. Офіційна інформація щодо розмірів цих збитків відсутня. В Internet-джерелах наявна інформація, що внаслідок вірусу «Petya» тільки автобізнес України зазнав 20 млн. євро збитків. А згідно підрахунків консалтингової компанії PricewaterhouseCoopers хакери й автори комп’ютерних вірусів у 2002 році нанесли світовій економіці збитки у розмірі $1,5 трлн. На сьогоднішній день розмір збитків ще більший. Ці суми є дуже великими і дозволяють зробити висновки, що забезпечення належного кіберзахисту шляхом внесення змін у відповідні нормативні акти щодо посилення вимог з кібербезпеки дозволить зекономити значні суми державних коштів.

2. Відповідно до статті 14 Регламенту ЄС 910 електронні довірчі послуги, що надаються третіми країнами (Україна) визнаються ЄС на договірних засадах за умови виконання третіми країнами вимог до кваліфікованих надавачів електронних довірчих послуг, встановлених Регламентом ЄС 910. Імплементаційне Рішення Комісії (ЄС) 2016/650 від 25 квітня 2016 року щодо стандартів оцінки безпеки засобів для створення кваліфікованих підпису та печатки відповідно до статей 30(3) та 39(2) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку, передбачає сертифікацію засобів кваліфікованого електронного підпису чи печатки (далі – засіб КЕП) відповідно до міжнародних та європейських стандартів з питань безпеки та захисту інформації:

1) ISO/IEC 15408 — Інформаційні технології — Методи забезпечення безпеки  — Критерії оцінки безпеки інформаційних технологій, частини 1–3;

2) ISO/IEC 18045:2008: Інформаційні технології  — Методи забезпечення безпеки  — Методика оцінки безпеки інформаційних технологій;

3) EN 419 211 Профілі захисту для засобу для створення захищеного підпису, частини 1–6.

Технічний регламент передбачає механізми забезпечення виготовлення та оцінки відповідності засобів КЗІ, що є засобами КЕП (засоби КЗІ категорії «Е»), вимогам міжнародних та європейських стандартів EN 419211, ISO/IEC 15408, ISO/IEC 18045.

Оцінка впливу на сферу інтересів громадян

Вид альтернативи

Вигоди

Витрати

Альтернатива 1.

Прийняття проекту постанови

Високі,

отримання безпечної, сумісної з сервісами електронного урядування продукції з відповідним рівнем гарантій

Можливе удорожчання засобів КЗІ

 

Альтернатива 2.

Збереження чинного регулювання

Відсутні

 

Ризики компрометації засобів КЗІ через їх невідповідність сучасним вимогам з безпеки, що може призвести до моральних та економічних витрат.

Оцінка впливу на сферу інтересів суб’єктів господарювання

Оцінку впливу на сферу інтересів суб’єктів господарювання проведено відносно розробників засобів КЗІ, які протягом останніх п’яти років проходили державну експертизу у сфері КЗІ.

Під час визначення впливу на сферу інтересів суб’єктів господарювання доцільно розглянути такі фактори, зокрема:

вплив на продуктивність та конкурентоспроможність суб’єктів господарювання;

вплив на інновації та розвиток.

 

Показник

Великі

Середні

Малі

Мікро

Разом

Кількість суб’єктів господарювання, що підпадають під дію регулювання, одиниць

-

12

-

-

 

12

Питома вага групи у загальній кількості, відсотків

-

100%

-

-

100%

 

 

 


Вид альтернативи

Вигоди

Витрати

Альтернатива 1.

Прийняття проекту постанови

Високі

Створення більш якісної (безпечної) продукції, що сприятиме попиту на неї та надасть можливість суб’єктам господарювання, що є розробниками, виробниками та розповсюджувачами засобів КЗІ, а також органами з оцінки відповідності, отримати додаткові прибутки

Збільшення витрат на розроблення засобів КЗІ у зв’язку з виконанням суттєвих вимог, зберіганням документації:

279 100,00 грн. –

за 1 рік;

471 500,00 грн. –

за 5 років.

Альтернатива 2.

Збереження чинного регулювання

Відсутні

Витрати пов’язані із зниженням попиту на продукцію у зв’язку з низькою її якістю

Збільшення витрат на ліквідацію наслідків кібератак.

 

Оцінка впливу на сферу інтересів суб’єктів господарювання проведена на основі узагальнення інформації, наданої суб’єктами господарювання

 


Сумарні витрати за альтернативами

Сума витрат, гривень

Альтернатива 1.

Прийняття проекту постанови

 

Додаткові витрати суб’єктів господарювання - розробників засобів КЗІ у зв’язку з виконанням вимог Технічного регламенту становлять:

279 100,00 грн.- за 1 рік;

471 500,00 грн.- за 5 років.

Альтернатива 2.

Збереження чинного регулювання

Витрати пов’язані із зниженням попиту на продукцію у зв’язку з низькою її якістю.

Збільшення витрат на ліквідацію наслідків кібератак.

IV. Вибір найбільш оптимального альтернативного способу
досягнення цілей

Вибір оптимального альтернативного способу здійснюється з урахуванням системи бальної оцінки ступеня досягнення визначених цілей.

Вартість балів визначається за чотирибальною системою оцінки ступеня досягнення визначених цілей, де:

4 - цілі прийняття регуляторного акта, які можуть бути досягнуті повною мірою (проблема більше існувати не буде);

3 - цілі прийняття регуляторного акта, які можуть бути досягнуті майже  повною мірою (усі важливі аспекти проблеми існувати не будуть);

2 - цілі прийняття регуляторного акта, які можуть бути досягнуті частково (проблема значно зменшиться, деякі важливі та критичні аспекти проблеми залишаться невирішеними);

1 - цілі прийняття регуляторного акта, які не можуть бути досягнуті (проблема продовжує існувати).

Рейтинг результативності (досягнення цілей під час вирішення проблеми)

Бал результативності (за чотирибальною системою оцінки)

Коментарі щодо присвоєння відповідного бала

1. Прийняття проекту постанови

4

Цілі прийняття регуляторного акта можуть бути досягнуті повною мірою:

приведення технічного регулювання у сфері КЗІ у відповідність до вимог Закону України «Про технічні регламенти та оцінку відповідності»

створення більш якісної (безпечної) продукції, що сприятиме попиту на неї та надасть можливість суб’єктам господарювання, що є розробниками, виробниками та розповсюджувачами засобів КЗІ, а також органами з оцінки відповідності, отримати додаткові прибутки;

створення умов для належного функціонування національної системи кібербезпеки;

створення умов для міжнародного співробітництва у сфері електронних довірчих послуг та електронної ідентифікації;

створення нових робочим місць шляхом запровадження органів з оцінки відповідності у сфері КЗІ

2. Залишення існуючої ситуації без змін

1

Цілі прийняття регуляторного акта не можуть бути досягнуті (проблема продовжить існувати)

 

Рейтинг результативності

Вигоди (підсумок)

Витрати (підсумок)

Обґрунтування відповідного місця альтернативи у рейтингу

1. Прийняття проекту постанови

Підвищення рівня безпеки засобів КЗІ

 

Витрати держави на здійснення ринкового нагляду за продукцією

42 000 грн. (за 5 років);

витрати суб’єктів господарювання на виконання вимог Технічного регламенту становлять:

279 100,00 грн.- за 1 рік

471 500,00 грн.- за 5 років

проблема більше існувати не буде

2. Залишення існуючої ситуації без змін

немає

Збільшення витрат на ліквідацію наслідків кібератак, компрометації даних тощо

Витрати у суб’єктів господарювання  пов’язані із зниженням попиту на продукцію у зв’язку з низькою її якістю.

проблема продовжує існувати

V. Механізми та заходи, які забезпечать розв'язання визначеної проблеми

Механізмом, який забезпечить розв’язання визначеної проблеми, є прийняття регуляторного акта.

Адміністрацією Держспецзв'язку  підготовлено проект постанови, яким   пропонується затвердити Технічний регламент.

Технічний регламент визначає:

суб’єктів відносин у сфері КЗІ, їх функції та обов’язки;

вимоги до розроблення, виготовлення, оцінки відповідності, експлуатації, відкликання, надання та вилучення з ринку, ринкового нагляду засобів КЗІ;

суттєві вимоги до засобів КЗІ;

Для досягнення цієї цілі проектом постанови передбачається:

затвердити Технічний регламент;

внести зміни до постанови Кабінету Міністрів України від 28.12.2016 № 1069 «Про затвердження переліку видів продукції, щодо яких органи державного ринкового нагляду здійснюють державний ринковий нагляд»;

внести зміни до постанови Кабінету Міністрів України від 29.02.2006 № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах».

 

Заходи, що пропонуються для розв’язання проблеми:

Ризику пливу зовнішніх факторів на дію регуляторного акта немає.

Організаційні заходи, які необхідно здійснити для впровадження проєкту постанови Кабінету Міністрів України:

а) дії суб’єктів господарювання – ознайомлення з проектом акта та заходами, які спрямовані на його реалізацію;

б) дії органів виконавчої влади – забезпечити інформування громадськості про вимоги регуляторного акта шляхом його оприлюднення на офіційному веб-сайті Держспецзв'язку.

Реалізація положень проекту постанови забезпечить:

відповідність засобів КЗІ вимогам з безпеки, визначених  міжнародними та європейськими національними стандартами України;

запровадження незалежної оцінки відповідності засобів КЗІ відповідно до вимог Закону України «Про технічні регламенти та процедури оцінки відповідності»;

імплементацію вимог Регламенту ЄС 910 з безпеки засобів КЕП (засоби КЗІ категорії «Е»), що є зобов’язанням України в рамках виконання Угоди про асоціацію;

сприяння сумісності засобів КЗІ України з державними електронними сервісами та НАТО;

підвищення рівня доступності послуг електронного урядування з використанням засобів КЗІ;

підвищення рівня кіберзахисту.

VI. Оцінка виконання вимог регуляторного акта залежно
від ресурсів, якими розпоряджаються органи виконавчої влади
 чи органи місцевого самоврядування, фізичні та юридичні особи,
які повинні проваджувати або виконувати ці вимоги

Бюджетні витрати Адміністрації Держспецзв'язку на адміністрування регулювання для суб’єктів великого і середнього підприємництва:

 

Процедура регулювання суб’єктів великого і середнього підприємництва (розрахунок на одного типового суб’єкта господарювання)

Планові витрати часу на процедуру

Вартість часу співробітника органу державної влади відповідної категорії (заробітна плата)

Оцінка кількості процедур за рік, що припадають на одного суб’єкта

Оцінка кількості суб’єктів, що підпадають під дію процедури регулювання

Витрати на адміністру-вання регулю-вання (за рік), гривень

1. Облік суб’єкта господарювання, що перебуває у сфері регулювання

1 робочий день

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

1

100

400,00

2. Поточний контроль за суб’єктом господарювання, що перебуває у сфері регулювання

15 робочих днів

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

2

100

6 000,00

3. Підготовка, затвердження та опрацювання одного окремого акта про порушення вимог регулювання

1 робочий день

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

1

100

400,00

4. Реалізація одного окремого рішення щодо порушення вимог регулювання

1 робочий день

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

1

100

400,00

5. Оскарження одного окремого рішення суб’єктами господарювання

 

1 робочий день

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

1

100

400,00

6. Підготовка звітності за результатами регулювання

 

2 робочі дні

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

1

100

800,00

Разом за рік

21 робочий день

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

7

100

8 400,00

Сумарно за п’ять років

105 робочих дні

400,00 грн за робочий день

(з розрахунку 9 000,00 грн за місяць)

35

100

42 000,00

 

Порядковий номер

Назва державного органу

Витрати на адміністрування регулювання за рік, гривень

Сумарні витрати на адміністрування регулювання за п’ять років, гривень

Сумарно бюджетні витрати на адміністрування регулювання суб’єктів великого і середнього підприємництва

Адміністрація Державної служби спеціального зв’язку та захисту інформації України

8 400,00

42 000,00

Витрати на одного суб’єкта господарювання (розробника засобу КЗІ) великого і середнього підприємництва, які виникають внаслідок дії регуляторного акта:

 

Порядковий номер

Витрати

За перший рік

За п’ять років

1.

Витрати на придбання основних фондів, обладнання та приладів, сервісне обслуговування, навчання / підвищення кваліфікації персоналу тощо, гривень:

51000,00

51000,00

1.1.

придбання обладнання, приладів та ліцензійного програмного забезпечення

36 000,00

36 000,00

1.2.

підвищення кваліфікації найманих працівників (5 осіб х 3 000,00 грн) у сферах інформаційних технологій, захисту інформації

15 000,00

75 000,00

2.

Витрати, пов’язані з адмініструванням заходів державного нагляду (контролю) (перевірок, штрафних санкцій, виконання рішень/приписів тощо), гривень:

Витрати пов’язані з адмініструванням перевірок контролю виробництва органом оцінки відповідності

2 200,00

11 000,00

3.

Витрати на отримання адміністративних послуг (дозволів, ліцензій, сертифікатів, атестатів, погоджень, висновків, проведення незалежних/обов’язкових експертиз, сертифікації, атестації тощо) та інших послуг (проведення наукових, інших експертиз, страхування тощо), гривень:

оцінка відповідності продукції з розрахунку 3 засоби КЗІ, та вартістю середньої оцінки відповідності засобу КЗІ – 60 000 грн.

180000,00

180000,00

4.

Витрати, пов’язані із веденням обліку, підготовкою та поданням звітності державним органам, гривень

200,00

1 000,00

5.

Витрати на оборотні активи (матеріали, канцелярські товари тощо), гривень

1 000,00

5 000,00

6.

Витрати, пов’язані із наймом додаткового персоналу, гривень:

додатковий найм 1 особи з підготовки документації, передбаченої Технічним регламентом (мінімальна заробітна плата у місячному розмірі: з 1 січня 2019 року – 4173,00 гривні)

44 700,00

223 500,00

7

РАЗОМ (сума рядків: 1 + 2 + 3 + 4 + 5 + 6), гривень

279 100,00

471 500,00

 

Сумарні витрати за альтернативами

Сума витрат за 5 років, гривень

Альтернатива 1

Прийняття проекту наказу

279 100,00- за 1 рік

471 500,00

Альтернатива 2

Відсутність регулювання

витрат на ліквідацію наслідків кібератак, компрометації даних

Протягом громадського обговорення Технічного регламенту та в рамках чисельних конференцій у сферах електронних довірчих послуг та кіберзахисту заперечення щодо прийняття Технічного регламенту від суб’єктів господарювання не надходили.

Адміністрація Держспецзв'язку, як технічний регулятор у сфері КЗІ, готова забезпечити:

впровадження затвердженого Технічного регламенту;

розробку та приведення власних нормативно-правових актів у відповідність із цією постановою до дня набрання її чинності.

VII. Обґрунтування запропонованого строку дії регуляторного акта

Постанова набирає чинності з 1 січня 2022 року з дня її опублікування, що обумовлено необідністю перехідного періоду для вжиття заінтересованими суб’єктами підготовчих заходів, у тому числі призначення органу з оцінки відповідності, прийняття низки підзаконних актів. Строк дії регуляторного акта не обмежується у часі, оскільки проєкт Технічного регламенту розробляється на виконання вимог Закону України «Про технічні регламенти та оцінку відповідності», термін дії якого не обмежено.

Зміна строку дії регуляторного акта можлива в разі зміни міжнародно-правових актів чи законодавчих актів України вищої юридичної сили, на виконання яких розроблений цей проект регуляторного акта.

Строк набрання чинності регуляторного акта − з дня його опублікування.

VIII. Визначення показників результативності дії регуляторного акта

До основних показників результативності дії регуляторного акта належать:

1. Розмір надходжень до державних та місцевих бюджетів і державних цільових фондів, пов’язаних з дією акта – прямих надходжень до державного бюджету не передбачається.

2. Кількість суб’єктів господарювання (розробники, розповсюджувачі, органи з оцінки відповідності), на яких поширюватиметься дія регуляторного акта.

3. Розмір коштів і час, що витрачатимуться суб’єктами господарювання, пов’язаними з виконанням вимог нормативно-правового акта.

4. Рівень поінформованості суб’єктів господарювання та/або фізичних осіб з основних положень регуляторного акта – високий, оскільки повідомлення на офіційному веб-сайті Держспецзв'язку для громадського обговорення, а після прийняття акта він буде опублікований у засобах масової інформації та розміщений на сайтах Кабінету Міністрів України, Верховної Ради України та в інформаційно-аналітичній системі «Ліга».

Прогнозними показниками результативності регуляторного акта є:

1. Кількість засобів КЗІ, що мають документ про відповідність.

2. Кількість і розмір штрафів, накладених органом державного ринкового нагляду за порушення вимог Технічного регламенту.

IX. Визначення заходів, за допомогою яких здійснюватиметься
 відстеження результативності дії регуляторного акта

Адміністрація Держспецзв'язку буде здійснювати базове, повторне та періодичні відстеження результативності регуляторного акта у строки, встановлені статтею 10 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності».

Проведення відстеження результативності регуляторного акта буде здійснюватися шляхом збирання статистичних даних відповідно до вищезазначених показників та аналізу звернень заінтересованих осіб щодо необхідності перегляду нормативно-правового акту з метою внесення до нього змін.

Базове відстеження результативності регуляторного акта буде здійснюватися через один рік, після набрання чинності цього регуляторного акта шляхом збирання статистичних даних, одержання пропозицій до нього, їх аналізу.

Повторне відстеження результативності регуляторного акта буде здійснюватись не пізніше двох років з дня набрання чинності цим актом, шляхом аналізу статистичних даних.

Періодичні відстеження результативності регуляторного акта будуть здійснюватись шляхом аналізу статистичних даних раз на кожні три роки починаючи з дня закінчення заходів з повторного відстеження результативності цього акта.

 

Голова Державної служби спеціального

зв’язку та захисту інформації України                                         Леонід ЄВДОЧЕНКО

 

«___»____________ 2019 року

 

 




Весь контент доступний за ліцензією Creative Commons Attribution 4.0 International license, якщо не зазначено інше.


  Розробник: Корпорація Софтлайн (Україна)         
© Державна служба спеціального зв'язку та захисту інформації України