Деякі питання створення та функціонування державних електронних платформ для ведення публічних електронних реєстрів
{Із змінами, внесеними згідно з Постановою КМ
№ 969 від 01.09.2023}
Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Положення про інформаційну систему “Програмна платформа для розгортання та супроводження державних електронних реєстрів”;
Порядок використання програмного забезпечення “Програмна платформа для розгортання та супроводження державних електронних реєстрів”.
2. Адміністрації Державної служби спеціального зв’язку та захисту інформації протягом одного місяця розробити та затвердити примірну форму договору про приєднання до інформаційної системи “Програмна платформа для розгортання та супроводження державних електронних реєстрів”.
ПОЛОЖЕННЯ
про інформаційну систему “Програмна платформа для розгортання та супроводження державних електронних реєстрів”
1. Це Положення визначає механізм функціонування інформаційної системи “Програмна платформа для розгортання та супроводження державних електронних реєстрів” (далі - інформаційна система), а також процедуру та вимоги щодо створення або замовлення на створення, адміністрування та ведення публічних електронних реєстрів, інформаційно-комунікаційних систем шляхом використання програмних засобів зазначеної інформаційної системи у разі прийняття такого рішення їх держателем (власником).
2. У цьому Положенні терміни вживаються в такому значенні:
розробник - суб’єкт господарювання, що здійснює створення та/або адміністрування та/або технічне адміністрування публічних електронних реєстрів, інформаційно-комунікаційних систем з використанням програмного забезпечення інформаційної системи;
середовище інформаційної системи - окремо виділене програмне та апаратне забезпечення або налаштування функціонального програмного та апаратного забезпечення, що забезпечує стале, надійне та захищене функціонування інформаційно-комунікаційних систем, публічних електронних реєстрів;
середовище розробки інформаційної системи - окремо виділене програмне та апаратне забезпечення або налаштування функціонального програмного та апаратного забезпечення, призначене для створення інформаційно-комунікаційних систем, публічних електронних реєстрів представниками розробника.
Інші терміни в цьому Положенні вживаються у значенні, наведеному в Законах України “Про захист інформації в інформаційно-комунікаційних системах”, “Про електронні комунікації”, “Про Державну службу спеціального зв’язку та захисту інформації України”, “Про основні засади забезпечення кібербезпеки України” і “Про публічні електронні реєстри”.
3. Інформаційна система призначена для створення, адміністрування, ведення публічних електронних реєстрів, інформаційно-комунікаційних систем.
4. Власником інформаційної системи є держава.
Технічним адміністратором інформаційної системи є державне підприємство “Українські спеціальні системи” (далі - технічний адміністратор), що належить до сфери управління Адміністрації Держспецзв’язку.
5. Інформаційна система функціонує цілодобово сім днів на тиждень.
Під час її функціонування можливе проведення планових і позапланових профілактичних та/або технічних робіт у разі виникнення такої необхідності.
Тривалість проведення профілактичних та/або технічних робіт з підтримання інформаційної системи визначає технічний адміністратор. Інформація про проведення профілактичних та/або технічних робіт з підтримання інформаційної системи оприлюднюється на офіційному веб-сайті технічного адміністратора за три календарних дні до дати проведення таких робіт, крім випадків невідкладного проведення аварійно-відновлювальних робіт внаслідок технічного збою в роботі.
6. Обробка інформації в інформаційній системі здійснюється відповідно до статті 8 Закону України “Про захист інформації в інформаційно-комунікаційних системах” і Закону України “Про основні засади забезпечення кібербезпеки України”.
7. Обробка персональних даних в інформаційній системі, а також їх зберігання здійснюються з дотриманням вимог Закону України “Про захист персональних даних”.
8. Інформаційна система має такі функціональні можливості:
створення публічних електронних реєстрів, інформаційно-комунікаційних систем;
ведення (адміністрування) публічних електронних реєстрів, інформаційно-комунікаційних систем, створених у її середовищі;
забезпечення електронної інформаційної взаємодії з іншими інформаційно-комунікаційними системами, зокрема з використанням системи електронної взаємодії електронних ресурсів (далі - система електронної взаємодії);
розмежування прав доступу до інформаційних ресурсів інформаційної системи, ізольована обробка даних окремих публічних електронних реєстрів, інформаційно-комунікаційних систем;
захист інформації, що обробляється в інформаційній системі, відповідно до вимог законодавства у сфері захисту інформації;
створення резервних копій публічних електронних реєстрів, інформаційно-комунікаційних систем;
проведення моніторингу роботи інформаційної системи і створених у її середовищі публічних електронних реєстрів, інформаційно-комунікаційних систем.
9. Адміністрація Держспецзв’язку вживає організаційних заходів, пов’язаних із забезпеченням функціонування інформаційної системи, контролює здійснення заходів, пов’язаних із захистом інформації, яка міститься в інформаційній системі, та виконує інші функції, передбачені цим Положенням, зокрема:
забезпечує нормативно-правове, методологічне та інформаційне забезпечення з питань ведення інформаційної системи;
надає роз’яснення з питань ведення інформаційної системи та підключення до неї;
забезпечує організацію налагодження електронної інформаційної взаємодії між інформаційною системою та інформаційно-комунікаційними системами;
контролює та координує роботу технічного адміністратора в частині створення, модернізації та функціонування інформаційної системи;
погоджує технічні рішення, типи технічних засобів, вид, структуру та характеристики програмного забезпечення, а також пропозиції щодо розроблення та модернізації програмного забезпечення, що пропонує технічний адміністратор;
здійснює контроль за функціонуванням інформаційної системи, зокрема шляхом проведення моніторингу процесів її ведення.
Технічний адміністратор забезпечує розроблення, створення, модернізацію, розвиток, впровадження, адміністрування, супроводження та забезпечення функціонування інформаційної системи, супроводження програмного забезпечення інформаційної системи, відповідає за технічне, технологічне та комунікаційне забезпечення інформаційної системи, збереження та захист інформації (даних) в інформаційній системі.
Створення інформаційної системи полягає у здійсненні комплексу заходів, спрямованих на її розгортання, тестування, введення в експлуатацію.
10. Супроводження програмного забезпечення інформаційної системи технічним адміністратором полягає у здійсненні заходів щодо забезпечення його функціонування відповідно до технічної документації, виявлення програмних та апаратних помилок, вжиття заходів щодо їх усунення та проведення модернізації інформаційної системи.
11. Технічне та технологічне забезпечення інформаційної системи технічним адміністратором передбачає:
здійснення заходів, пов’язаних із створенням, модернізацією та функціонуванням інформаційної системи, зокрема її введенням в експлуатацію;
проведення моніторингу роботи інформаційної системи;
налагодження електронної інформаційної взаємодії між інформаційною системою та іншими інформаційно-комунікаційними системами;
підтримання сталого функціонування програмного та апаратного забезпечення інформаційної системи;
налаштування і технічну підтримку безперервного належного функціонування апаратної та програмної частини інформаційної системи;
забезпечення обслуговування технічної інфраструктури (центру обробки даних, мережі передачі даних тощо);
розроблення, створення (побудову), модернізацію, розвиток, впровадження та супроводження програмного забезпечення інформаційної системи для створення та ведення публічних електронних реєстрів, інформаційно-комунікаційних систем;
введення в промислову експлуатацію апаратних, програмних засобів, технічних засобів електронних комунікацій та захисту інформації в інформаційній системі;
здійснення технічного навчання із створення та адміністрування публічних електронних реєстрів, інформаційно-комунікаційних систем;
технологічне, технічне та організаційне забезпечення створення та зберігання архівної інформації інформаційної системи;
підтримання безперервного функціонування інформаційної системи, зокрема системи зберігання та архівування інформації;
забезпечення резервування потужностей і створення резервних копій інформаційної системи;
створення, збереження та захист резервних копій налаштувань, що містяться в інформаційній системі;
забезпечення створення, адміністрування, ведення публічних електронних реєстрів, інформаційно-комунікаційних систем;
надання технічної підтримки адміністраторам публічних електронних реєстрів, інформаційно-комунікаційних систем;
здійснення заходів з впровадження комплексних систем захисту інформації в інформаційній системі.
12. Технічний адміністратор вживає таких заходів щодо збереження та захисту інформації, що міститься в інформаційній системі:
1) створення та забезпечення функціонування комплексної системи захисту інформації інформаційної системи відповідно до законодавства у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах;
2) впровадження та забезпечення використання засобів криптографічного та технічного захисту інформації з підтвердженою відповідністю під час ведення інформаційної системи;
3) забезпечення використання кваліфікованого електронного підпису чи печатки під час ведення інформаційної системи відповідно до вимог законодавства;
4) забезпечення захисту цілісності бази даних, апаратного та програмного забезпечення, достовірності інформації в інформаційній системі, захист від несанкціонованого доступу, незаконного використання, незаконного копіювання, спотворення, блокування, знищення даних, забезпечення безпеки персональних даних;
5) блокування несанкціонованих дій щодо доступу до інформаційної системи та публічних електронних реєстрів, інформаційно-комунікаційних систем, які на ній створені.
13. Фінансове забезпечення вжиття заходів щодо розроблення, створення, впровадження, модернізації, розвитку, адміністрування, супроводження та забезпечення функціонування інформаційної системи здійснюється в межах бюджетних призначень головного розпорядника, встановлених законом про Державний бюджет України на відповідний рік, та/або за рахунок міжнародної технічної допомоги у вигляді фінансових ресурсів, що надаються партнерами з розвитку, а також за рахунок інших джерел, не заборонених законодавством.
14. Держатель публічного електронного реєстру (далі - держатель реєстру), власник інформаційно-комунікаційної системи може створити публічний електронний реєстр, інформаційно-комунікаційну систему або замовити їх створення в середовищі інформаційної системи, зокрема технічному адміністратору.
15. Доступ до середовища інформаційної системи для створення та/або адміністрування, та/або технічного адміністрування, та/або ведення, та/або хостингу публічного електронного реєстру, інформаційно-комунікаційної системи здійснюється на підставі договору про приєднання до інформаційної системи, укладеного між держателем реєстру/власником інформаційно-комунікаційної системи або адміністратором реєстру/технічним адміністратором інформаційно-комунікаційної системи і технічним адміністратором, зокрема на платній основі.
{Пункт 15 із змінами, внесеними згідно з Постановою КМ № 969 від 01.09.2023}
16. Примірна форма договору про приєднання до інформаційної системи затверджується Адміністрацією Держспецзв’язку.
17. Технічний адміністратор надає розробникам доступ до середовища розробки інформаційної системи відповідно до умов договору про приєднання до інформаційної системи, укладеного між розробником і технічним адміністратором, зокрема на платній основі.
18. Держатель реєстру, технічний адміністратор відповідно до укладених договорів можуть надавати розробникам доступ до середовища розробки інформаційної системи.
Не може бути надано доступ до середовища розробки інформаційної системи розробникам (їх представникам), які:
створені та зареєстровані відповідно до законодавства держави, визнаної Верховною Радою України державою-агресором, та/або держав, які входять до митних та воєнних союзів з такою державою та/або щодо яких застосовано санкції відповідно до Закону України “Про санкції” і щодо яких прийнято рішення про застосування санкцій в Україні;
створені та зареєстровані відповідно до законодавства України, кінцевим бенефіціарним власником, учасником (акціонером) або членом яких є держава-агресор, громадянин держави-агресора або юридична особа, створена та зареєстрована відповідно до законодавства держави-агресора та/або держав, які входять до митних і воєнних союзів з такою державою та/або щодо яких застосовані санкції відповідно до Закону України “Про санкції”.
19. У публічному електронному реєстрі, створеному у середовищі інформаційної системи, впроваджується комплексна система захисту інформації з підтвердженою відповідністю.
20. Адміністрування (ведення) публічних електронних реєстрів, створених у середовищі інформаційної системи здійснюється шляхом налаштування операційних процесів, користувацьких інтерфейсів (UI), користувачів та їх можливостей (ролі), сервера безпечного обміну даними; системи валідації та публікації змін до регламенту операційних процесів; системи розгортання змін до операційних процесів і функціональних розширень; системи управління ключовими даними публічних електронних реєстрів; прикладних програмних інтерфейсів (API); системи керування версіями (Git) на рівні публічних електронних реєстрів тощо.
21. Електронна інформаційна взаємодія інформаційної системи з інформаційно-комунікаційними системами здійснюється за допомогою системи електронної взаємодії відповідно до Порядку організації електронної інформаційної взаємодії державних електронних інформаційних ресурсів, затвердженого постановою Кабінету Міністрів України від 10 травня 2018 р. № 357 (Офіційний вісник України, 2018 р., № 41, ст. 1450).
22. Інформаційна взаємодія інформаційної системи з інформаційно-комунікаційними системами може здійснюватися з використанням системи електронної взаємодії або з використанням програмних засобів відповідних інтегрованих інформаційних систем, прикладних програмних інтерфейсів інших інформаційно-комунікаційних систем із застосуванням в них відповідних комплексних систем захисту інформації з підтвердженою відповідністю.
23. Інформаційна система забезпечує сумісність та електронну інформаційну взаємодію між публічними електронними реєстрами, зокрема з базовими реєстрами, визначеними у статті 6 Закону України “Про публічні електронні реєстри”, та іншими інформаційно-комунікаційними системами.
Держателі базових реєстрів та інших інформаційно-комунікаційних систем можуть уповноважити технічного адміністратора на виконання функцій оператора надання доступу до реєстрової інформації через інформаційну систему.
Обсяг реєстрової інформації, оброблення якої здійснює оператор надання доступу до реєстрової інформації, та порядок надання доступу до такої реєстрової інформації визначаються у договорах про інформаційну взаємодію, підписаних держателями реєстрів.
24. Електронна інформаційна взаємодія публічних електронних реєстрів, створених у середовищі інформаційної системи та розгорнутих в її середовищі, з іншими публічними електронними реєстрами, інформаційно-комунікаційними системами здійснюється з використанням системи електронної взаємодії або з використанням програмних засобів відповідних інтегрованих інформаційних систем, прикладних програмних інтерфейсів інших інформаційно-комунікаційних систем із застосуванням в них відповідних комплексних систем захисту інформації з підтвердженою відповідністю.
25. Держатель публічного електронного реєстру, створеного у середовищі інформаційної системи, може уповноважити технічного адміністратора на виконання функцій оператора надання доступу до реєстрової інформації через інформаційну систему.
Обсяг реєстрової інформації, оброблення якої здійснює оператор надання доступу до реєстрової інформації, та порядок надання доступу до такої реєстрової інформації визначаються у договорі між технічним адміністратором та держателем реєстру.
ПОРЯДОК
використання програмного забезпечення “Програмна платформа для розгортання та супроводження державних електронних реєстрів”
1. Цей Порядок визначає механізм використання програмного забезпечення інформаційної системи “Програмна платформа для розгортання та супроводження державних електронних реєстрів” (далі - програмне забезпечення інформаційної системи) органами державної влади, державними підприємствами, установами, організаціями (далі - уповноважений суб’єкт) для створення, адміністрування та ведення публічних електронних реєстрів та інформаційно-комунікаційних систем.
2. У цьому Порядку терміни вживаються в такому значенні:
адміністратор платформи реєстрів уповноваженого суб’єкта (далі - адміністратор платформи) - визначена держателем платформи юридична особа публічного права, яка за його дорученням створює, забезпечує функціонування та здійснює адміністрування платформи реєстрів уповноваженого суб’єкта;
держатель платформи реєстрів уповноваженого суб’єкта (далі - держатель платформи) - уповноважений суб’єкт, що забезпечує створення, функціонування та ведення платформи реєстрів уповноваженого суб’єкта;
платформа реєстрів уповноваженого суб’єкта (далі - платформа) - інформаційно-комунікаційна система, створена уповноваженим суб’єктом з використанням програмного забезпечення інформаційної системи і призначена для створення, адміністрування та ведення публічних електронних реєстрів, інформаційно-комунікаційних систем;
програмне забезпечення інформаційної системи - програмне забезпечення, що використовується для створення інформаційно-комунікаційних систем, які призначені для створення, адміністрування та ведення публічних електронних реєстрів, інформаційно-комунікаційних систем.
Інші терміни в цьому Порядку вживаються у значенні, наведеному в Законах України “Про захист інформації в інформаційно-комунікаційних системах”, “Про основні засади забезпечення кібербезпеки України” і “Про публічні електронні реєстри”.
3. Для створення платформи уповноважений суб’єкт може використовувати програмне забезпечення інформаційної системи на підставі договору про використання програмного забезпечення інформаційної системи (далі - договір використання). Зазначений договір укладається уповноваженим суб’єктом з державним підприємством “Українські спеціальні системи” (далі - володілець) за погодженням з Адміністрацією Держспецзв’язку. Використання програмного забезпечення інформаційної системи уповноваженим суб’єктом є безоплатним і безстроковим.
Використання платформи для створення, адміністрування та ведення публічних електронних реєстрів, інформаційно-комунікаційних систем здійснюється на підставі договору про приєднання до платформи, укладеного між адміністратором платформи та держателем публічного електронного реєстру або власником інформаційно-комунікаційної системи.
Держатель платформи може виконувати функції адміністратора платформи.
4. Для створення платформи здійснюється комплекс заходів, спрямованих на розгортання (встановлення) програмного забезпечення інформаційної системи, тестування, впровадження та оцінки заходів і засобів захисту інформації, введення в експлуатацію з урахуванням вимог законодавства.
5. Володілець підтверджує коректність розгортання програмного забезпечення інформаційної системи під час створення платформи шляхом перевірки журналів операцій з її встановлення відповідно до вимог інструкції щодо встановлення програмного забезпечення інформаційної системи, яка є додатком до договору використання.
6. Держатель платформи забезпечує створення та функціонування комплексної системи захисту інформації платформи з підтвердженою відповідністю.
7. Платформа використовується для створення, розробки, тестування, адміністрування, технічного адміністрування, розміщення (розгортання) та ведення публічних електронних реєстрів та інформаційно-комунікаційних систем.
8. Програмне забезпечення інформаційної системи не підлягає модернізації держателем платформи.
9. Адміністратор платформи зобов’язаний встановлювати на платформу актуальні версії програмного забезпечення інформаційної системи (включно із всіма оновленнями) відповідно до положення про платформу, встановленого уповноваженим суб’єктом.
Положенням про платформу визначається її власна назва, а також:
механізм функціонування та порядок використання платформи;
держатель платформи та його функції;
адміністратор платформи та його функції;
процедура встановлення актуальних версій програмного забезпечення інформаційної системи (включно із всіма оновленнями);
Володілець підтверджує коректність встановлення актуальної версії програмного забезпечення інформаційної системи (включно із всіма оновленнями) шляхом перевірки журналів операцій її встановлення відповідно до вимог інструкції, яка є додатком до договору використання.
10. Адміністратор платформи може бути оператором доступу до реєстрової інформації.
11. Адміністрація Держспецзв’язку здійснює контроль за дотриманням вимог законодавства про захист інформації в інформаційно-комунікаційних системах під час створення (побудови) та експлуатації платформ.
12. Фінансове забезпечення створення, адміністрування, супроводження та забезпечення функціонування платформи здійснюється в межах відповідних бюджетних призначень головних розпорядників, установлених законом про Державний бюджет України на відповідний рік, та/або за рахунок міжнародної технічної допомоги у вигляді фінансових ресурсів, що надаються партнерами з розвитку, а також за рахунок інших джерел, не заборонених законодавством.