Голові Адміністрації Державної служби спеціального зв’язку
та захисту інформації України
Євдоченку Л.О.
вул. Солом’янська, 13, м. Київ, 03110
Копія:
Державна регуляторна служба України
вул. Арсенальна, 9/11, м. Київ, 01011
Міністерство економічного розвитку і торгівлі
вул. М. Грушевського, 12/2, м. Київ, 01008
Національна комісія, що здійснює державне регулювання
у сфері зв’язку та інформатизації
вул. Хрещатик, 22, м. Київ, 01001
Антимонопольний комітет України
вул. Митрополита В. Липківського, 45, м. Київ, 03035
Вих. № 124
від 14 серпня 2018 р.
Щодо проекту постанови Кабінету
Міністрів України «Про внесення змін
до постанови Кабінету Міністрів України
від 12 квітня 2002 р. № 522»
Шановний Леоніде Олександровичу!
Інтернет Асоціація України (далі – ІнАУ) засвідчує Вам свою повагу та звертається з приводу наступного.
07 серпня 2018 року на офіційному веб-сайті Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі – Адміністрація ДССЗЗІ) www.dsszzi.gov.ua у підрозділі «Повідомлення про оприлюднення та проекти» розділу «Регуляторна діяльність» оприлюднено проект постанови Кабінету Міністрів України «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», розроблений на виконання завдання, визначеного підпунктом 5б) пункту 1 Рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання Рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254, а також відповідно до Плану організації виконання означеного Указу Президента України, схваленому на засіданні Кабінету Міністрів України 13 вересня 2017 року (протокол № 53) (далі – проект постанови).
Як зазначено розробником, цей документ має на меті врегулювати питання підключення державних органів, підприємств, установ і організацій державної форми власності до мережі Інтернет та закупівлю послуг у операторів, провайдерів телекомунікацій.
При цьому, постанова Кабінету Міністрів України від 12.04.2002 № 522 була розроблена на виконання Указу Президента України від 24.09.2001 № 891 «Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних», тобто, направлена на регулювання відносин, які існували у 2002 році. Наразі, проектом постанови пропонується затвердити Порядок у новій редакції, при тому, що, як на підставу таких змін розробник посилається на законодавство, яке набрало чинності пізніше, аніж Указ Президента України від 24.09.2001 № 891.
Відтак, на наш погляд, доречно прийняти нову постанову Кабінету Міністрів України, а не вносити зміни до постанови Кабінету Міністрів України від 12.04.2002 № 522 «Про затвердження порядку підключення до глобальних мереж передачі даних».
Пунктом 5 проекту Порядку підключення до глобальних мереж передачі даних (далі – проект Порядку) пропонується встановити, що «абоненти закуповують послуги (укладають договори) з доступу до глобальних мереж передачі даних у тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю».
Зі змісту цього положення проекту Порядку не зрозуміло, як саме застосовувати вираз: «закуповують послуги (укладають договори)». Тобто, це стосується виключно випадків застосування процедур закупівлі, визначених Законом України «Про публічні закупівлі», чи й відносин при укладенні прямих договорів з метою отримання абонентами доступу до мережі Інтернет, якщо вартість предмету закупівлі не підпадає під порогові показники, коли проведення процедур закупівлі є обов’язковим?
З урахуванням наданих зауважень, пункт 5 проекту Порядку вважаємо за необхідне доопрацювати задля однозначного його розуміння суб’єктами застосування.
У законодавстві не надається визначення термінів «органи виконавчої влади», «інші державні органи» та відсутній вичерпний їх перелік. Відтак, на нашу думку, у даному Порядку необхідно чітко зазначити, на які саме органи виконавчої влади та інші державні органи, в т.ч. місцеві, поширюватиметься дія постанови, у разі її прийняття.
Таким чином, термін «абоненти» необхідно доопрацювати.
Аналіз регуляторного впливу до проекту постанови не містить інформації про те, які витрати понесуть оператори, провайдери телекомунікацій, що пов’язані з отриманням документів про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
Таким чином, вважаємо, що Адміністрацією ДССЗЗІ при розробленні проекту постанови не надано належної оцінки впливу цієї постанови на сферу інтересів операторів, провайдерів телекомунікацій, які здійснюють діяльність на ринку послуг доступу до мережі Інтернет.
У разі спонукання державою до укладення абонентами прямих договорів на отримання доступу до мережі Інтернет, та й у випадку застосування процедур закупівлі, на наш погляд, не враховано, що така вимога призведе до припинення діючих договорів на надання послуг доступу до Інтернету, що, відповідно, спричинить нанесення збитків окремим операторам, провайдерам телекомунікацій.
Пунктами 3 та 4 Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93, зареєстрованого в Міністерстві юстиції України 16.07.2007 за № 820/14087 (далі – Положення), визначено, що його дія поширюється на всіх юридичних та фізичних осіб, які є суб’єктами експертизи. Суб’єктами експертизи визначено, зокрема, юридичні та фізичні особи-власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ - замовники експертизи. Об’єктами експертизи є: комплексні системи захисту інформації, які є невід’ємною складовою частиною інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи; технічні та програмні засоби, які реалізують функції ТЗІ; організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження.
Отже, при виконанні завдання, направленого на виконання указів Президента України щодо врегулювання питання підключення державних органів, підприємств, установ і організацій державної форми власності до мережі Інтернет та закупівлю послуг у операторів, провайдерів телекомунікацій, необхідно врахувати, що відповідно до Положення, телекомунікаційні мережі, у розумінні визначення, наданого у статті 1 Закону України «Про телекомунікації», з використанням яких оператори, провайдери телекомунікацій надають послуги доступу до мережі Інтернет, не є об’єктами експертизи, а, відповідно, оператори, провайдери, які надають послуги доступу до мережі Інтернет, не є суб’єктами експертизи.
Постанова, у разі її прийняття, може мати негативний вплив на конкуренцію на ринку послуг доступу до Інтернет, оскільки, впровадження нових вимог до операторів, провайдерів телекомунікацій при наданні цих послуг абонентам державного сектору, може призвести до монополізації ринку.
Зокрема, в Аналізі регуляторного впливу до проекту постанови зазначено, що під дію акту, за попередніми розрахунками, підпадуть більше ніж 3 тис. великих та середніх суб’єктів господарювання та, які, з прийняттям акту, понесуть додаткові витрати на впровадження системи захисту інформації з підтвердженою відповідністю. А органи виконавчої влади, інші державні органи, підприємства, установи та організації державної форми власності повинні будуть укласти нові договори з доступу до мережі Інтернет з тими операторами (провайдерами) телекомунікацій, у яких є документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері телекомунікацій. Тобто, у Аналізі регуляторного впливу до проекту постанови розробник і сам не заперечує факту впливу постанови, у разі її прийняття, на перерозподіл ринку доступу до мережі Інтернет та можливість його монополізації великими та середніми суб’єктами господарювання. Разом з цим, зі змісту Аналізу регуляторного впливу до проекту постанови слідує те, що проект цього документу не підлягає погодженню з органами Антимонопольного комітету України.
Отже, пропонуємо проект постанови направити на погодження до Антимонопольного комітету України відповідно до статті 20 Закону України «Про Антимонопольний комітет України», як такий, що може мати вплив на конкуренцію на ринку послуг доступу до мережі Інтернет.
Враховуючи наведене, пропонуємо Адміністрації Держспецзв’язку доопрацювати проект постанови із урахуванням наданих ІнАУ зауважень та пропозицій.
З повагою
Голова Правління Інтернет Асоціації України О.Федієнко