Про проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою, та затвердження Порядку здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною фіскальною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів

Відповідно до абзаців другого і третього пункту 5 розділу II “Прикінцеві та перехідні положення” Закону України від 21 грудня 2016 р. № 1797-VIII “Про внесення змін до Податкового кодексу України щодо покращення інвестиційного клімату в Україні” Кабінет Міністрів України постановляє:

1. Утворити міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою.

2. Затвердити такі, що додаються:

Положення про міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою;

Порядок здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною фіскальною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.

3. Міжвідомчій робочій групі, утвореній згідно з цією постановою, провести незалежний аудит баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою, в установлений законодавством строк.

4. Міністерству фінансів та Державній фіскальній службі забезпечити здійснення заходів, необхідних для проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою.

ПОЛОЖЕННЯ
про міжвідомчу робочу групу з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою

1. Міжвідомча робоча група з проведення незалежного аудиту баз даних та інформаційних ресурсів, що використовуються Державною фіскальною службою (далі - міжвідомча робоча група), є тимчасовим консультативно-дорадчим органом Кабінету Міністрів України.

2. Міжвідомча робоча група у своїй діяльності керується Конституцією і законами України, а також указами Президента України та постановами Верховної Ради України, прийнятими відповідно до Конституції та законів України, актами Кабінету Міністрів України та цим Положенням.

3. Основними завданнями міжвідомчої робочої групи є:

1) розгляд та затвердження технічних вимог до аудиту баз даних та інформаційних ресурсів, що використовуються ДФС (далі - аудит);

2) розроблення плану дій з проведення аудиту (далі - план дій);

3) проведення аудиту;

4) представлення Кабінету Міністрів України та Мінфіну звіту про результати проведення аудиту.

4. Міжвідомча робоча група відповідно до покладених на неї завдань:

1) розглядає та затверджує основні завдання, мету та технічні вимоги до проведення аудиту;

2) розробляє план дій з проведення аудиту;

3) здійснює необхідні заходи з проведення аудиту відповідно до плану дій;

4) схвалює та подає Кабінетові Міністрів України та Мінфіну звіт про результати проведення аудиту і підготовлені рекомендації та пропозиції для подальшого здійснення контролю, в тому числі моніторингу адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.

5. Міжвідомча робоча група має право:

1) отримувати в установленому законодавством порядку від центральних органів виконавчої влади, державних підприємств та установ інформацію, необхідну для виконання покладених на неї завдань;

2) залучати до участі у своїй роботі представників центральних органів виконавчої влади, державних підприємств та установ, представників міжнародних організацій, незалежних експертів (за згодою);

3) організовувати проведення нарад та інших заходів, необхідних для виконання покладених на неї завдань;

4) утворювати у разі потреби постійні або тимчасові робочі групи для забезпечення виконання покладених на неї завдань.

6. Міжвідомча робоча група під час виконання покладених на неї завдань взаємодіє з центральними органами виконавчої влади, державними підприємствами та установами, представниками міжнародних організацій, незалежними експертами.

7. До складу міжвідомчої робочої групи входить голова, його заступник, секретар, представники Державного агентства з питань електронного урядування, Мінфіну, ДФС, державного підприємства “Українські спеціальні системи”, інших центральних органів виконавчої влади, державних підприємств та установ.

8. Головою міжвідомчої робочої групи є Міністр фінансів.

Голова міжвідомчої робочої групи затверджує її персональний склад та у разі потреби може вносити зміни до нього.

9. Формою роботи міжвідомчої робочої групи є засідання, які проводяться за рішенням її голови.

10. Засідання міжвідомчої робочої групи проводить голова, а за його відсутності - його заступник.

11. Підготовку матеріалів для розгляду на засіданнях міжвідомчої робочої групи забезпечує її секретар.

12. Засідання міжвідомчої робочої групи вважається правоможним у разі присутності на ньому більш як половини її складу.

13. На засіданнях міжвідомча робоча група розробляє пропозиції та рекомендації відповідно до основних завдань.

14. Пропозиції та рекомендації вважаються схваленими, якщо за них проголосувала більш як половина присутніх на засіданні членів міжвідомчої робочої групи. У разі рівного розподілу голосів вирішальним є голос головуючого на засіданні.

15. Пропозиції та рекомендації фіксуються у протоколі засідання, який підписується головуючим на засіданні та секретарем і надсилається членам міжвідомчої робочої групи.

16. Член міжвідомчої робочої групи, який не підтримує пропозиції або рекомендації, може викласти у письмовій формі свою окрему думку, яка додається до протоколу засідання.

17. Звіт про результати проведення аудиту, пропозиції та рекомендації міжвідомчої робочої групи використовуються під час здійснення Мінфіном контролю, в тому числі моніторингу адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов'язкових платежів.

18. Організаційне, інформаційне та матеріально-технічне забезпечення діяльності міжвідомчої робочої групи здійснює Мінфін.

ПОРЯДОК
здійснення контролю, в тому числі моніторингу Міністерством фінансів адміністрування Державною фіскальною службою баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів

Загальні питання

1. Цей Порядок встановлює основні вимоги щодо здійснення контролю, в тому числі моніторингу Мінфіном адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.

2. Здійснення контролю, в тому числі моніторингу адміністрування ДФС баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів, покладено на Мінфін.

3. Бази даних та інформаційні ресурси - це групи взаємозв’язаних одиниць інформації баз даних інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем ДФС, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.

4. Захист інформації баз даних та інформаційних ресурсів під час проведення заходів, передбачених цим Порядком, здійснюється відповідно до вимог Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”.

Моніторинг адміністрування баз даних та інформаційних ресурсів ДФС

5. Моніторинг адміністрування баз даних та інформаційних ресурсів ДФС (далі - моніторинг) - комплекс програмно-технічних заходів з проведення аналізу інформації в базах даних та інформаційних ресурсах ДФС, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.

6. Мінфін організовує здійснення моніторингу з використанням програмно-технічних засобів.

7. Для здійснення моніторингу забезпечується реплікація інформаційних ресурсів та баз даних ДФС на програмно-апаратні комплекси Мінфіну, за винятком бази персональних даних “Державний реєстр фізичних осіб - платників податків” та персональних даних, що містяться в інших базах даних та інформаційних ресурсах ДФС.

8. Механізм реплікації здійснюється у режимі реального часу з дотриманням автентичності та цілісності інформаційних ресурсів та баз даних ДФС.

9. Механізм реплікації будується з використанням власних каналів зв’язку Мінфіну, а також каналів конфіденційного зв’язку спеціальної інформаційної телекомунікаційної системи органів влади Національної системи конфіденційного зв’язку та інших інформаційно-телекомунікаційних засобів з використанням засобів технічного та криптографічного захисту інформації відповідно до вимог законодавства з питань захисту інформації.

10. Регламент та формат обміну для механізму реплікації визначаються двосторонніми угодами про інформаційну взаємодію та оформляються окремими протоколами обміну інформацією.

11. Відповідальність за забезпечення захисту інформації в базах даних та інформаційних ресурсах покладається на ДФС в частині інформації, яка міститься у програмно-апаратному комплексі ДФС.

12. Відповідальність за забезпечення захисту інформації реплікації баз даних та інформаційних ресурсів ДФС на програмно-апаратному комплексі Мінфіну покладається на Мінфін.

13. Алгоритми формування показників, заявки та технічні завдання на створення програмного забезпечення, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів в базах даних інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах ДФС, затверджуються ДФС. Копії таких документів передаються до Мінфіну протягом двох робочих днів  після їх затвердження.

Контроль адміністрування баз даних та інформаційних ресурсів ДФС

14. Контроль адміністрування баз даних та інформаційних ресурсів ДФС (далі - контроль) - комплекс програмно-технічних заходів з виявлення та запобігання загрозам зовнішнього та внутрішнього втручання у роботу баз даних та інформаційних ресурсів ДФС.

15. Мінфін організовує здійснення контролю з використанням програмно-технічних засобів.

16. Програмно-технічний засіб для здійснення контролю - це засіб інформаційної безпеки, що дає змогу контролювати або у разі потреби обмежувати доступ адміністратора або користувача до баз даних та інформаційних ресурсів ДФС, що підсилює їх захист від несанкціонованих дій персоналу і реалізує налаштування політик інформаційної безпеки.

17. Програмно-технічний засіб для здійснення контролю забезпечує створення:

1) області безпеки, яка є контейнером або “захищеною областю”, або “захищеним середовищем”, що дає змогу визначити та застосувати політики доступу користувачів до бази даних та інформаційних ресурсів ДФС у її складі. У таку область можуть включатися як різні об'єкти бази даних, так і права доступу користувачів та інформаційних систем ДФС;

2) політик безпеки, які забезпечують здійснення контролю та дотримання регламенту доступу до баз даних та інформаційних ресурсів ДФС та області безпеки.

18. Політики безпеки, що контролюють умови доступу до баз даних, інформаційних ресурсів ДФС та області безпеки, розробляються та затверджуються ДФС за погодженням з Мінфіном.

19. Адміністрування програмно-технічного засобу контролю здійснюється ДФС та Мінфіном.

20. Здійснення модифікації, коригування або зміни політик безпеки незалежно один від одного ДФС та Мінфіну заборонено.

21. Інформація, яка надходить до баз даних та інформаційних ресурсів ДФС, обов’язково підлягає перевірці політиками безпеки області безпеки.

22. У разі виявлення програмно-технічним засобом, який міститься на програмно-апаратному комплексі ДФС, модифікацій, коригування або зміни політик безпеки такі дії автоматично припиняються програмно-технічним засобом з одночасним формуванням та надсиланням повідомлення ДФС та Мінфіну.

23. ДФС проводить перевірку факту порушення інформаційної безпеки, за результатами якої вживає всіх необхідних заходів відповідно до законодавства та у 10-денний строк інформує Мінфін про результати такої перевірки.

24. Якщо за результатами перевірки встановлено необхідність внесення модифікацій, коригувань або змін до політик безпеки області безпеки, то протягом п’яти робочих днів вони вносяться ДФС та Мінфіном до політик безпеки області безпеки. Дії, що автоматично припинилися програмно-технічним засобом внаслідок таких модифікацій, коригувань або змін, відновлюються ДФС.

25. Результати контролю адміністрування баз даних та інформаційних ресурсів ДФС, в тому числі моніторингу, використовуються Мінфіном під час здійснення контролю і координації діяльності ДФС в частині ведення баз даних та інформаційних ресурсів, що використовуються для адміністрування податків, зборів та інших обов’язкових платежів.