Лист № 152 від 07.09.2017 Прем'єр-міністру України щодо Указу Президента №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації»

Вихідні реквізити
Вих. № 152 від 07.09.2017
Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
Прем'єр-міністр України

 

 

Прем’єр-міністру України

ГРОЙСМАНУ В.Б.

 

 

 

 

 

Вих. №­­­ 152

Від 07 вересня 2017 р. 

 

Щодо Указу Президента України №254/2017 про

введення в дію рішення РНБОУ від 10.07.2017

«Про стан виконання рішення РНБОУ від 29.12.2016

«Про загрози кібербезпеці держави та невідкладні

заходи з їх нейтралізації»

 

Шановний Володимире Борисовичу!

Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 190 підприємств галузі інформаційно-телекомунікаційних технологій України, засвідчує Вам свою повагу та звертається з наступним.

Указ Президента України №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації» у підпункті б) пункту 5 частини 1  Рішення Ради національної безпеки і оборони України від 10 липня 2017 року передбачає врегулювання Кабінетом Міністрів України у тримісячний строк питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.

ІнАУ провела аналіз підпункту б) пункту 5 частини 1  Рішення Ради національної безпеки і оборони України від 10 липня 2017 року, і на основі цього аналізу зазначає наступне.

І. Стосовно предмету правового регулювання.

  1. За цим підпунктом предметом правового регулювання є діяльність державних органів, підприємств, установ і організацій державної форми власності (надалі – державні органи) щодо закупівлі послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій (надалі – оператори).
  2. Пропонується заборонити державним органам закупівлю послуги (укладати договори) з доступу до мережі Інтернет у операторів, якщо останні не мають документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
  3. Підпункт не містить кваліфікуючих ознак державних органів на які розповсюджується така заборона, тобто заборона стосується всіх без виключення державних підприємств.
  4. Відповідно до статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»:

«Державні  інформаційні  ресурси  або  інформація  з обмеженим доступом,  вимога  щодо  захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством».

  1. Відповідно до Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»:

«державні інформаційні ресурси – систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень».

Коментар. Однією з кваліфікуючих ознак державних інформаційних ресурсів – наявність у державних органів прав на володіння, використання або розпорядження інформацією, яка власне і складає ресурси.

Висновок стосовно предмету правового регулювання.

Таким чином, предметом правового регулювання є режим закупівлі у операторів послуги з доступу до мережі Інтернет державними органами за умови, якщо в системах цих органів оброблюються:

  • інформація  з обмеженим доступом,  вимога  щодо  захисту якої встановлена законом або;
  • державні  інформаційні  ресурси,  право на володіння, використання або розпорядження якою належить державним органам.

 

ІІ. Стосовно права на володіння, використання або розпорядження інформацією (інформаційними ресурсами).

  1. Відповідно до статі 178 Цивільного кодексу України:

«Об'єктами цивільних прав є речі, у тому числі гроші та цінні папери, інше майно, майнові права, результати робіт, послуги, результати інтелектуальної, творчої діяльності, інформація, а також інші матеріальні і нематеріальні блага».

  1. Відповідно до статі 179 Цивільного кодексу України:

«Річчю є предмет матеріального світу, щодо якого можуть виникати цивільні права та обов'язки».

  1. Відповідно до статі 179 Цивільного кодексу України:

«Майном як особливим об'єктом вважаються окрема річ, сукупність речей, а також майнові права та обов'язки».

  1. Відповідно до статі 316 Цивільного кодексу України:

«Правом власності є право особи на річ (майно), яке вона здійснює відповідно до закону за своєю волею, незалежно від волі інших осіб».

  1. Відповідно до статі 317 Цивільного кодексу України:

«Власникові належать права володіння, користування та розпоряджання своїм майном».

  1. Відповідно до статі 317 Цивільного кодексу України

1. Власник володіє, користується, розпоряджається своїм майном на власний розсуд.

2. Власник має право вчиняти щодо свого майна будь-які дії, які не суперечать закону.

При здійсненні своїх прав та виконанні обов'язків власник зобов'язаний додержуватися моральних засад суспільства.

3. Усім власникам забезпечуються рівні умови здійснення своїх прав.

4. Власність зобов'язує.

5. Власник не може використовувати право власності на шкоду правам, свободам та гідності громадян, інтересам суспільства, погіршувати екологічну ситуацію та природні якості землі.

6. Держава не втручається у здійснення власником права власності.

Коментар.

  1. Сумісний аналіз змісту статей 178, 179 та 190 не дає підстав для віднесення інформації до речі або майна.
  2. Право власності це одночасно і право володіння, і право користування, і право на розпоряджання своїм майном.
  3. Інформація не може бути об’єктом права власності, вона є лише об’єктом  цивільних прав інших за право власності.

Висновок стосовно права на володіння, використання або розпорядження інформацією:

Визначення «державні інформаційні ресурси», що надане  у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України», суперечить положенням Цивільного кодексу України та не має юридичного сенсу, оскільки вони не можуть бути об’єктом права власності.

 

ІІІ. Щодо опосередкованої вимоги до операторів мати документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.

  1. Відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»:
  • «інформаційно-телекомунікаційна системасукупність інформаційних та телекомунікаційних систем,  які у процесі обробки інформації діють як єдине ціле».
  • «телекомунікаційна система - сукупність технічних і програмних засобів,  призначених  для  обміну інформацією шляхом передавання, випромінювання  або  приймання  її  у  вигляді  сигналів,  знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб».
  1. Відповідно до Закону України «Про телекомунікації»:
  • «Інтернет - всесвітня інформаційна система загального доступу, яка логічно зв'язана глобальним адресним простором та базується на Інтернет-протоколі, визначеному міжнародними стандартами»;
  • «інформаційна система    загального   доступу   -   сукупність телекомунікаційних мереж  та  засобів  для  накопичення,  обробки, зберігання та передавання даних».
  • «телекомунікаційна мережа  – комплекс   технічних   засобів  телекомунікацій   та   споруд,   призначених   для  маршрутизації, комутації,  передавання   та/або   приймання   знаків,   сигналів, письмового  тексту, зображень та звуків або повідомлень будь-якого роду по радіо,  проводових,  оптичних  чи  інших  електромагнітних системах між кінцевим обладнанням».

Коментар.

  1. Мережа Інтернет – це насамперед сукупність телекомунікаційних мереж, тобто сукупність телекомунікаційних мереж різних операторів різної державної юрисдикції.
  2. Сукупність телекомунікаційних мереж,  які у процесі передачі інформації діють як єдине ціле, не обмежується телекомунікаційною мережею оператора, до якого здійснюються підключення державних органів з метою отримання доступу до мережі Інтернет».
  3. Визначення «телекомунікаційна система» та  «телекомунікаційна мережа» надане в різних законах мають різний технічний та юридичний зміст і сенс.

 

Висновок щодо вимоги до операторів мати документи про підтвердження відповідності системи захисту інформації.

  • щодо наявності у операторів документів про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації суперечить законодавству, оскільки діяльність операторів, пов’язана з передаванням інформації телекомунікаційними мережами загального користування, не підпадає під сферу регулювання Закону України «Про захист інформації в інформаційно-телекомунікаційних системах».

Враховуючи наведені аргументи, ми вважаємо, що завдання Кабінету Міністрів, яке викладено у підпункті б) пункту 5 частини 1  Рішення Ради національної безпеки і оборони України від 10 липня 2017 року, підлягає скасуванню або приведенню у відповідність положенням національних кодексів та законів, яким воно суперечить.

Заборона державним органам, підприємствам, установам і організаціям державної форми власності (включаючи заклади освіти, охорони здоров’я, структури надання адміністративних послуг громадянам, тощо) закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації, не лише суперечить чинному законодавству України, але й несе значні корупційні ризики, а також призведе до значного підвищення вартості послуг доступу до мережі Інтернет.

Просимо Вас не допустити порушення чинного законодавства та обмеження прав та законних інтересів громадян України і суб’єктів господарювання галузі телекомунікацій при здійсненні заходів відповідно до Указу Президента України №254/2017 про введення в дію рішення РНБОУ від 10.07.2017.

 

З повагою,

 

Голова Правління

Інтернет Асоціації України                                                                                                                     О. Федієнко