Лист № 101 Голові Держспецзв'язку 26.04.2019 щодо відкликання листів про укладення договорів з доступу до мережі Інтернет, направлених до керівників центральних та місцевих органів виконавчої влади

26.04.2019
Вихідні реквізити: 
Вих. № 101 від 26.04.2019
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Голові Державної служби спеціального зв’язку

та захисту інформації України

Євдоченку Л.О.

вул. Солом’янська, 13, м. Київ, 03110

 

Вих. № 101

від 26 квітня 2019 року

 

Щодо відкликання листів про укладення

договорів з доступу до мережі Інтернет,

направлених до керівників центральних

та місцевих органів виконавчої влади

 

Шановний Леоніде Олександровичу!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.

Наприкінці березня 2019 року Державна служба спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) направила до керівників центральних та місцевих органів виконавчої влади листи щодо укладення договорів з доступу до мережі Інтернет з операторами (провайдерами) телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації. Додатком до цього листа ДССЗЗІ направила Перелік операторів (провайдерів) телекомунікацій, що надають послуги з доступу до мережі Інтернет та мають чинні атестати відповідності системи захисту захищених вузлів Інтернет доступу.

Свої вимоги у цих листах ДССЗЗІ обґрунтовує тим, що «відповідно до пункту 5 б) рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32» державним органам, підприємствам, установам і організаціям державної форми власності заборонено закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації» (мовою оригіналу).

Проте, така мотивація у листах ДССЗЗІ до керівників центральних та місцевих органів виконавчої влади, не відповідає дійсності та вимогам, закріпленим у підпункті 5 б) пункту 1 рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254/2017 (далі – Рішення РНБОУ), та відповідно до якого Кабінет Міністрів України у тримісячний строк повинен був врегулювати питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації. Тобто, Рішення РНБОУ, закріплене у підпункті 5 б) пункту 1, Кабінет Міністрів України повинен був виконати до 11 жовтня 2017 року (!)

Жодного нормативно-правового акту щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації, не прийнято.

Наразі відомо, що на виконання підпункту 5 б) пункту 1 Рішення РНБОУ ДССЗЗІ розроблено проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет» (далі – проект постанови), який неодноразово оприлюднювався для громадського обговорення та направлявся до заінтересованих державних органів на погодження.

ІнАУ неодноразово надавала до проекту постанови, розробленої ДССЗЗІ, свої зауваження та заперечення.

Таким чином, на сьогодні не існує жодного нормативно-правового акту, прийнятого на виконання підпункту 5 б) пункту 1 Рішення РНБОУ.

Відтак, вважаємо дії ДССЗЗІ щодо направлення листів до керівників центральних та місцевих органів виконавчої влади такими, які не ґрунтуються на вимогах нормативно-правових актів України та суперечать гарантіям, закріпленим у статті 19 Конституції України: «Правовий порядок в Україні ґрунтується на засадах, відповідно до яких ніхто не може бути примушений робити те, що не передбачено законодавством. Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов’язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України».

Листи, направлені ДССЗЗІ до керівників центральних та місцевих органів виконавчої влади, мають негативні наслідки і в тому, що керівники обласних державних адміністрацій та їх структурних підрозділів направили листи ДССЗЗІ до підприємств, організацій та установ, які знаходяться у їх підпорядкуванні на виконання. Так, наприклад, вже у квітні п.р. Департаментом освіти і науки Донецької обласної державної адміністрації направлено листи до директорів інтернатних закладів спільної власності територіальних громад сіл, селищ, міст, що знаходяться в управлінні обласної ради з вимогою «після проведення відповідних організаційних заходів необхідно проінформувати департамент освіти і науки облдержадміністрації (відділ інклюзивної освіти та соціального захисту дітей) щодо укладених договорів з доступу до мережі Інтернет, враховуючи наданий перелік операторів (провайдерів) телекомунікацій, що надають послуги з доступу до мережі Інтернет та мають чинні атестати відповідності системи захисту захищених вузлів Інтернет доступу до 26.04.2019 на електронну адресу» (мовою оригіналу).

Тобто, виявляється, що в регіонах, взагалі підпункт 5 б) пункту 1 Рішення РНБОУ застосовується на власний розсуд, адже, в рішенні РНБОУ вказується про врегулювання питання заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності, а, в листі, наприклад, департаменту освіти Донецької обласної державної адміністрації вже вказується про пряму заборону суб’єктам спільної власності (тобто, не лише державної) закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності.

Отже, вважаємо, що дії ДССЗЗІ щодо направлення листів, в яких вказується про заборону укладати договори з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності, є неправомірними, оскільки:

  • зазначене питання та взаємовідносини не врегульовані нормативно-правовими актами України, відтак, вимоги ДССЗЗІ та місцевих органів державної влади не є такими, що ґрунтуються на вимогах законів України;
  • за умов відсутності відповідного нормативно-правового акту вимоги ДССЗЗІ та місцевих органів виконавчої влади є такими, що обмежують конкуренцію та штучно призводять до монополізації послуг доступу до мережі Інтернет;
  • наслідками дій ДССЗЗІ та місцевих органів державної влади буде підвищення вартості послуг доступу до мережі Інтернет, збільшення бюджетних витрат на оплату цих послуг;
  • відбувається порушення прав та законних інтересів операторів, провайдерів телекомунікацій, які надають послуги доступу до мережі Інтернет, адже, наразі, відсутні вимоги щодо обов’язковості операторам (провайдерам) телекомунікацій мати документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.

 

Враховуючи наведене, звертаємось з вимогою відкликати листи, направлені у березні 2019 року до керівників центральних та місцевих органів виконавчої влади щодо укладення договорів з доступу до мережі Інтернет з операторами (провайдерами) телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації, як такі, що не ґрунтуються на вимогах законодавства України та порушують права та законні інтереси операторів, провайдерів телекомунікацій.

 

Про результати розгляду цього листа просимо повідомити письмово.

 

 

З повагою

Виконавчий директор Інтернет Асоціації України                                                                                                     В. Куковський