10 червня 2009 р. Відбулось засідання ПДК з питань акредитації

ЗАТВЕРДЖУЮ

Глолва Державного комітету

інформатизації України

___________І.А. Рубан

“___” ____________ 2009 р.

ПРОТОКОЛ   N 10/9

засідання постійно діючої комісії з питань акредитації

засвідчувальних центрів та центрів сертифікації ключів

національної системи електронного цифрового підпису

м. Київ 10 червня 2009 р.

Присутні:

1. Семенченко А.І. - Перший заступник Голови Державного комітету інформатизації України, голова комісії.

2. Балюк В. В. – заступник Голови Держкомінформатизації, заступник голови комісії.

3 Дзюба С.В. – Генеральний директор Державного підприємства „Державний центр інформаційних ресурсів України”.

4 Косогов О.М. – начальник управління справами Державної інспекції з контролю якості лікарських засобів.

5. Крайчук Т.Г. – заступник начальнику відділу Департаменту Адміністрації Держспецзв’язку.

6. Окнов В. А. – завідувач сектору розвитку програмного забезпечення та інформаційних технологій.

Питання для розгляду:

1.  Лист Держспецзв’язку від 28.05.2009 N 4/3-3552, звернення Народного депутата України, Голови підкомітету з питань державного регулювання бухгалтерського обліку та звітності, аудиторської діяльності Комітету з питань економічної політики Верховної Ради України Лукашука О.Г. від 03.06.2009 р. N 0723/0306 відносно рішення ЦЗО про скасування акредитації АЦСК ТОВ „УСЦ”, лист Окружного адміністративного суду м. Києва від 25.05.2009 р. N 2а-4970/09/2670, лист ТОВ „УСЦ” від 04.06.2009 р. N 146/09, лист Державної податкової адміністрація України від 12.05.09р. N 5511/5/28-0516, лист Фонду соціального страхування з тимчасової втрати працездатності Виконавча дирекція від 29.05.2009 р. N 08-40-1130 та лист Міністерства юстиції України від 05.06.2009 р. N 6845-0-26-09-19.

На розгляд комісії подано:

1. Лист Держспецзв’язку від 28.05.2009 N 4/3-3552.

2. Звернення Лукашука О.Г. Народного депутата України, Голови підкомітету з питань державного регулювання бухгалтерського обліку та звітності, аудиторської діяльності Комітету з питань економічної політики Верховної Ради України Лукашука О.Г. від 03.06.2009 р. N 0723/0306.

3. Лист Окружного адміністративного суду м. Києва від 25.05.2009 р. N 2а-4970/09/2670

4. Лист ТОВ „УСЦ” від 04.06.2009 р. N 146/09.

5. Лист Державної податкової адміністрація України від 12.05.09р. N 5511/5/28-0516.

6. Лист Фонду соціального страхування з тимчасової втрати працездатності Виконавча дирекція від 29.05.2009 р. N 08-40-1130.

7. Лист Міністерства юстиції України від 05.06.2009 р. N 6845-0-26-09-19.

Виступили:

1. Перший заступник Голови Державного комітету інформатизації України Семенченко А.І.

До Держкомінформатизації надійшов лист відповідь Держспецзв’язку від 28.05.2009 N 4/3-3552 на запит Держкомінформатизації до контролюючого органу стосовно неспівпадіння відомостей, наданих контролюючим органом та ТОВ „УСЦ” щодо порушень АЦСК ТОВ „УСЦ” законодавства у сфері ЕЦП, а також інформації щодо колізій у чинному законодавстві. Цим листом Держспецзв’язку зазначає, що згідно з ст. 11 Закону України „”Про електронний цифровий підпис”, п.4 Постанови Кабінету Міністрів України від 28.10.2004 N 1451 „Про затвердження Положення про Центральний засвідчувальний орган” прийняття рішення про скасування акредитації знаходиться виключно в компетенції Держкомінформатизації. Інших роз’яснень щодо поставлених ЦЗО запитань від Держспецзв’язку не отримано.

До Держкомінформатизації 03.06.2009 року надійшло звернення Народного депутата України, Голови підкомітету з питань державного регулювання бухгалтерського обліку та звітності, аудиторської діяльності Комітету з питань економічної політики Верховної Ради України Лукашука О.Г. від 03.06.2009 р. N 0723/0306. В зверненні зазначається, що ключі АЦСК ТОВ „УСЦ” активно використовуються Державної податковою адміністрацією України, Пенсійним фондом України, Державним комітетом статистки України та іншими органами державної влади. Таким чином, скасування акредитації АЦСК ТОВ „УСЦ”, яке автоматично призводить до визнання неробочими ключів користувачів зазначеного АЦСК, і, як наслідок, призведе до унеможливлювання роботи інформаційно-аналітичної системи Державної податкової служби України, до блокування роботи органів Пенсійного Фонду та Державного комітету статистики з електронними документами тощо. Також зазначено, що Постановою Кабінету Міністрів України від 21.05.2009 р. N 502 „Про тимчасові обмеження щодо здійснення заходів державного нагляду (контролю) у сфері господарської діяльності на період до 31.грудня 2010 року” встановлено, що органи і посадові особи повинні приймати рішення про застосування до суб’єктів господарювання фінансових і адміністративних санкцій лише у разі невиконання ними протягом 30 діб від дня одержання приписів про усунення виявлених порушень. Враховуючи це, висловлюється прохання прискорити проведення повторної акредитації АЦСК „УСЦ”.

02.06.2009р. надійшов лист щодо Ухвали про закінчення підготовчого провадження від 25.05.2009 р. N 2а-4970/09/2670 Окружного адміністративного суду міста Києва за позивом ТОВ "УСЦ" стосовно скасування рішення N1с від 27.04.2009р. визнання протиправними дії та зобов’язання вчинити певні дії, відповідно до якої було  вчинено судовий розгляд цієї справи у судовому засіданні 16.06.2009 за адресою: м. Київ, вул.. Десятинна, 4/6, каб. 7.. Відповідачами  були визначені  Державний комітет інформатизації України та Державна служба спеціального зв’язку та захисту інформації України, яким запропоновано подати до суду письмові пояснення по суті позову та всі докази на їх підтвердження, які наявні у відповідача.

ТОВ „УСЦ” листом від 04.06.2009 р. N 146/06 було повідомлено, що 04.06.2009 р. ТОВ „Український сертифікаційний центр” відкликало позовну заяву на підставі п.5 частини першої статті 155 Кодексу адміністративного судочинства України.

Державна податкова адміністрація звернулась з листом від12.05.2009 р. N 5511/5/28-0516 в якому вказані негативні наслідки від скасування акредитації ЕЦП АЦСК „Український сертифікаційний центр” насамперед, до зупинки приймання, обробки та передачі електронних документів (в тому числі електронних звітів), а також неможлива передача інформації між обласними ДПА та Районними інспекціями.

Фонд соціального страхування з тимчасової втрати працездатності Виконавча дирекція (Фонд) 29.05.2009 р. N 08-40-1130 листом поінформував, що в системі органів Фонду використовується більше 1500 ключів електронно цифрового підпису  АЦСК ТОВ „Український сертифікаційний центр”. Скасування акредитації АЦСК ТОВ „Український сертифікаційний центр” призведе до блокування роботи органів Фонду з електронними документами та повної зупинки  прийому та обробки  електронних звітів від страхувальників робочими органами Фонду, У зв’язку з викладеним Фонд просить вжити невідкладних заходів щодо проведення повторної акредитації АЦСК ТОВ „Український сертифікаційний центр”.

Державним комітетом інформатизації отримано відповідь Міністерства юстиції України від 05.06.2009 р. N 6845-0-26-09-19, щодо виявлених суперечностей   між постановою Кабінету Міністрів України N 903 від 13.07.2004 р. "Про проходження Порядку акредитації центру сертифікації ключів" стосовно процедури скасування акредитації, критеріїв скасування та блокування посиленого сертифікату тощо. Міністерство юстиції України відмовилося від надання офіційних тлумачень щодо кроків, які необхідно вжити Державному комітету інформатизації у зв’язку з скасуванням акредитації центру сертифікації ключів ТОВ „Український сертифікаційний центр” оскільки це, на їхню думку, виходить за межі компетенції Міністерства юстицій.

2. Заступник начальника відділу Адміністрації Держспецзв'язку Крайчук Т.Г.

У відповідності до вимог частини четвертої статті 8 Закону України “Про електронний цифровий підпис”, центр сертифікації ключів зобов'язаний  забезпечувати захист інформації в автоматизованих системах та захист персональних даних, отриманих  від підписувача, згідно з законодавством.

Частиною другою статті 8 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” встановлено, що інформація, яка є власністю держави, або інформація з обмеженим доступом. Вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

У відповідності до вимог пунктів 34, 35 “Порядку акредитації центру сертифікації ключів”, затвердженого постановою Кабінету Міністрів України від 13.07.2004 N 903, захист інформації, яка обробляється в акредитованому центрі, забезпечується в результаті здійснення комплексу технічних,  криптографічних, організаційних та інших заходів і впровадження комплексної системи захисту інформації. Комплексна система захисту  інформації (далі – КСЗІ) повинна мати атестат відповідності вимогам захисту інформації.

На виконання зазначених вимог законодавства України у сфері надання послуг електронного цифрового підпису, акредитованим центром сертифікації ключів Товариства з обмеженою відповідальністю “Українській сертифікаційний центр ” (далі – АЦСК ТОВ “УСЦ”) було створено КСЗІ програмно-технічного комплексу, розміщеного за адресою: 04119, м. Київ, вул.. Дегтярівська, 36 (кімната N 617) та підтверджено її відповідність вимогам нормативних документів з технічного захисту інформації (атестат відповідності виданий ДСТСЗІ СБ України від 27.07.2006 за N 293).

У грудні місяці 2008 року АЦСК ТОВ “УСЦ” прийнято рішення про зміну місцезнаходження.

При цьому, з часу зміни свого місцезнаходження АЦСК ТОВ “УСЦ” функціонував за відсутністю атестату відповідності, який засвідчує, що КСЗІ програмно-технічного комплексу розміщеного за новою адресою, забезпечує захист інформації відповідно до вимог нормативних документів системи ТЗІ. Зазначене є порушенням вимог статей 8 та 9 Закону України  “Про електронний цифровий підпис” та статі 8  Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і могло призвести до компрометації особистого ключа АЦСК ТОВ “УСЦ” або витоку персональних даних підписувачів послуг ЕЦП.

У зв’язку з цим, у квітні поточного року. керуючись вимогами статті 12 Закону України  “Про електронний цифровий підпис” Держспецзв’язку, згідно із покладеними на неї функціями контролюючого органу у сфері ЕЦП, поінформувала Центральний засвідчу вальний орган про порушення АЦСК ТОВ “УСЦ” встановлених законодавством вимог.

Підтвердження відповідності КСЗІ програмно-апаратного комплексу, яка була створена за новою адресою  акредитованого центру сертифікації        (м. Київ. Вул.. Фрунзе. 102), було здійснено  АЦСК ТОВ “УСЦ”  лише 18.05.2009.

Таким чином, послуги у сфері ЕЦП у період з грудня 2008 року по травень 2009 року надавались АЦСК ТОВ “УСЦ органам державної влади, у тому числі ДПА України, пенсійному фонду України, Фонду соціального страхування з тимчасової втрати працездатності, з порушенням вимог законодавства.

Висновок про наявність чи відсутність негативних наслідків, до яких могло призвести зазначене порушення, може бути зроблений лише за результатами проведення перевірки дотримання вимог законодавства АЦСК ТОВ “УСЦ” у сфері надання послуг ЕЦП на підставі ініціативного звернення товариства у порядку, передбаченому статтею 6 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”.

Рішення:

1. Приймаючи до уваги відсутність нормативно-правового регулювання та технологічного забезпечення питань скасування акредитації центрів сертифікації ключів і, як наслідок, неможливість виконання рішення центрального засвідчувального органу від  27.04.2009 р. N 1с та дотримуючись вимог постанови Кабінету Міністрів України від 21.05.2009 р. N 502 „Про тимчасові обмеження щодо здійснення заходів державного нагляду (контролю) у сфері господарської діяльності на період до 31.грудня 2010 року", а також усвідомлюючи негативні наслідки для державних органів, які є користувачами послуг електронного цифрового підпису АЦСК ТОВ „УСЦ”, вважаємо за доцільне рекомендувати ЦЗО скасувати рішення від 27.04.2009 р. N 1с про скасування акредитації АЦСК ТОВ „УСЦ”.

Семенченко А.І.

Балюк В.В.

Крайчук Т.Г.

Косогов О.М.

Окнов В.А.

Дзюба С.В.

Версія для друку Додати в обране