Голові Комітету Верховної Ради України
з питань інформатизації та зв’язку
Данченку О.І.
Вих. № 126
від 26 квітня 2019 року
Шановний Олександре Івановичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
Наприкінці березня 2019 року Державна служба спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) направила до керівників центральних та місцевих органів виконавчої влади листи щодо укладення договорів з доступу до мережі Інтернет з операторами (провайдерами) телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації. Додатком до цього листа ДССЗЗІ направила Перелік операторів (провайдерів) телекомунікацій, що надають послуги з доступу до мережі Інтернет та мають чинні атестати відповідності системи захисту захищених вузлів Інтернет доступу.
Свої вимоги у цих листах ДССЗЗІ обґрунтовує тим, що «відповідно до пункту 5 б) рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32» державним органам, підприємствам, установам і організаціям державної форми власності заборонено закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації» (мовою оригіналу).
Проте, така мотивація у листах ДССЗЗІ до керівників центральних та місцевих органів виконавчої влади, не відповідає дійсності та вимогам, закріпленим у підпункті 5 б) пункту 1 рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254/2017 (далі – Рішення РНБОУ), та відповідно до якого Кабінет Міністрів України у тримісячний строк повинен був врегулювати питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації. Тобто, Рішення РНБОУ, закріплене у підпункті 5 б) пункту 1, Кабінет Міністрів України повинен був виконати до 11 жовтня 2017 року (!)
Жодного нормативно-правового акту щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації, не прийнято.
Наразі, відомо, що на виконання підпункту 5 б) пункту 1 Рішення РНБОУ ДССЗЗІ розроблено проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет» (далі – проект постанови), який неодноразово оприлюднювався для громадського обговорення та направлявся до заінтересованих державних органів на погодження.
ІнАУ неодноразово надавала до проекту постанови, розробленого ДССЗЗІ, свої зауваження та заперечення. Зі змістом листів ІнАУ можна ознайомитись на веб-сайті ІнАУ https://inau.ua/doclist/out.
Таким чином, на сьогодні не існує жодного нормативно-правового акту, прийнятого до виконання підпункту 5 б) пункту 1 Рішення РНБОУ.
Відтак, вважаємо дії ДССЗЗІ щодо направлення листів до керівників центральних та місцевих органів виконавчої влади такими, які не ґрунтуються на вимогах нормативно-правових актів України та суперечать гарантіям, закріпленим у статті 19 Конституції України: «Правовий порядок в Україні ґрунтується на засадах, відповідно до яких ніхто не може бути примушений робити те, що не передбачено законодавством. Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов’язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України».
Листи, направлені ДССЗЗІ до керівників центральних та місцевих органів виконавчої влади, мають негативні наслідки і в тому, що керівники обласних державних адміністрацій та їх структурних підрозділів направили листи ДССЗЗІ до підприємств, організацій та установ, які знаходяться у їх підпорядкуванні на виконання. Так, наприклад, вже у квітні п.р. Департаментом освіти і науки Донецької обласної державної адміністрації направлено листи до директорів інтернатних закладів спільної власності територіальних громад сіл, селищ, міст, що знаходяться в управлінні обласної ради з вимогою «після проведення відповідних організаційних заходів необхідно проінформувати департамент освіти і науки облдержадміністрації (відділ інклюзивної освіти та соціального захисту дітей) щодо укладених договорів з доступу до мережі Інтернет, враховуючи наданий перелік операторів (провайдерів) телекомунікацій, що надають послуги з доступу до мережі Інтернет та мають чинні атестати відповідності системи захисту захищених вузлів Інтернет доступу до 26.04.2019 на електронну адресу» (мовою оригіналу).
Тобто, виявляється, що в регіонах, взагалі підпункт 5 б) пункту 1 Рішення РНБОУ застосовується на власний розсуд, адже, в рішенні РНБОУ вказується про врегулювання питання заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності, а в листі, наприклад, департаменту освіти Донецької обласної державної адміністрації вже вказується про пряму заборону суб’єктам спільної власності (тобто, не лише державної) закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності.
Отже, вважаємо, що ДССЗЗІ та місцеві органи державної влади повинні відкликати листи, в яких вказується про заборону укладати договори з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності, оскільки:
- зазначене питання та взаємовідносини не врегульовані нормативно-правовими актами України, відтак, вимоги ДССЗЗІ та місцевих органів державної влади не є такими, що ґрунтуються на вимогах законів України;
- за умов відсутності відповідного нормативно-правового акту вимоги ДССЗЗІ та місцевих органів виконавчої влади є такими, що обмежують конкуренцію та штучно призводять до монополізації послуг доступу до мережі Інтернет;
- наслідками дій ДССЗЗІ та місцевих органів державної влади буде підвищення вартості послуг доступу до мережі Інтернет, збільшення бюджетних витрат на оплату цих послуг;
- відбувається порушення прав та законних інтересів операторів, провайдерів телекомунікацій, які надають послуги доступу до мережі Інтернет, адже, наразі, відсутні вимоги щодо обов’язковості операторам (провайдерам) телекомунікацій мати документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
Відповідно до частини першої статті 24 Закону України «Про комітети Верховної Ради України» комітети з питань, віднесених до предметів їх відання, здійснюють аналіз практики застосування державними органами, органами місцевого самоврядування, їх посадовими особами Конституції та законів України, аналіз відповідності закону прийнятих ними підзаконних нормативно-правових актів, своєчасності їх прийняття. За наслідками такого аналізу комітет вносить державним органам, органам місцевого самоврядування, їх посадовим особам рекомендації щодо приведення у відповідність із законом підзаконного нормативно-правового акта.
Враховуючи вищенаведене, звертаємось до Вас з проханням, в межах прав та повноважень, втрутитись у ситуацію з метою якнайшвидшого захисту законних прав та інтересів операторів, провайдерів телекомунікацій, порушених внаслідок направлення листів ДССЗЗІ до керівників центральних та місцевих органів виконавчої влади щодо укладення договорів з доступу до мережі Інтернет тільки з операторами, провайдерами телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
З повагою
Виконавчий директор Інтернет Асоціації України В. Куковський