Постанова від 28.02.2025 № 226 Про затвердження Порядку оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації та інформування к...

КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА

від 28 лютого 2025 р. N 226

Київ

Про затвердження Порядку оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації та інформування контролюючого органу про надання електронних довірчих послуг з використанням засобів електронної ідентифікації

Відповідно до статті 14 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" Кабінет Міністрів України постановляє:

Затвердити Порядок оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації та інформування контролюючого органу про надання електронних довірчих послуг з використанням засобів електронної ідентифікації, що додається.

Інд. 49

ПОРЯДОК
оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації та інформування контролюючого органу про надання електронних довірчих послуг з використанням засобів електронної ідентифікації

1. Цей Порядок визначає процедуру проведення оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації (далі - оцінка ризиків і наслідків) під час отримання електронних послуг, а також подання контролюючому органу інформації про надання електронних послуг з використанням засобів електронної ідентифікації власниками (держателями) інформаційних та інформаційно-комунікаційних систем.

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законі України "Про електронну ідентифікацію та електронні довірчі послуги", "Про захист інформації в інформаційно-комунікаційних системах" та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.

3. Засоби електронної ідентифікації, що використовуються в інформаційних та інформаційно-комунікаційних системах, з використанням яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, повинні відповідати технічному регламенту щодо вимог до засобів електронної ідентифікації в контексті схеми електронної ідентифікації та процедурам, що застосовуються для визначення рівня довіри до засобів електронної ідентифікації, затвердженим відповідно до частини четвертої статті 15 Закону України "Про електронну ідентифікацію та електронні довірчі послуги".

4. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, з використанням яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, проводять оцінку ризиків і наслідків один раз під час вибору засобів електронної ідентифікації із середнім або високим рівнем довіри.

5. Оцінка ризиків і наслідків проводиться відповідно до розділу 7 ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки".

6. Оцінку ризиків і наслідків проводить відповідальний підрозділ (працівник), визначений рішенням власника (держателя) інформаційних та інформаційно-комунікаційних систем (його керівника чи особи, що виконує його обов'язки).

7. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, за допомогою яких надаються електронні послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, зобов'язані щороку (до 15 січня) подавати контролюючому органу інформацію про надання електронних послуг з використанням засобів електронної ідентифікації за попередній рік за формою згідно з додатком.

8. Інформація, зазначена в пункті 7 цього Порядку, надсилається в електронній формі з накладенням кваліфікованого електронного підпису керівника організації або уповноваженої особи організації через систему електронної взаємодії органів виконавчої влади або на адресу електронної пошти контролюючого органу.

9. Контролюючий орган з метою здійснення заходів державного контролю за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг щороку з 16 січня обробляє та аналізує інформацію, подану згідно з пунктом 7 цього Порядку.

ІНФОРМАЦІЯ
про надання електронних послуг з використанням засобів електронної ідентифікації

__________________________________
(найменування власника (держателя) інформаційних та інформаційно-комунікаційних систем)
за 20__ рік