Лист № 202 від 29.11.2018 Мінекономрозвитку щодо не підтримання проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»

29.11.2018
Вихідні реквізити: 
Вих. № 202 від 29.11.2018
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Міністерство економічного розвитку і торгівлі України

Першому віце-прем’єр-міністру України – Міністру економічного розвитку і торгівлі України,

Голові Урядового комітету з питань економічної, фінансової та правової політики, розвитку паливно-енергетичного комплексу, інфраструктури, оборонної та правоохоронної діяльності

Кубіву С.І.

 

Копія: Голові Адміністрації Державної служби спеціального зв’язку та захисту інформації України

Євдоченку Л.О.

 

 

 

 

 

 

 

 

 

 

 

 

Вих. № 202

від 29 листопада 2018 року

 

Щодо не підтримання проекту

постанови Кабінету Міністрів України

 

Шановний Степане Івановичу!

Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 200 підприємств сфери ІКТ, серед, яких, в переважній більшості, оператори та провайдери телекомунікацій України, засвідчує Вам свою повагу та звертається з приводу наступного.

Як нам відомо, Адміністрація Держспецзв’язку направила на розгляд Кабінету Міністрів України проект постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» (далі – проект постанови КМУ).

Проект постанови КМУ було оприлюднено для громадського обговорення та, у встановлений термін, ІнАУ листом від 14.06.2018 № 87 надавала до розробника зауваження та пропозиції (зі змістом листа можна ознайомитись на веб-сайті ІнАУ https://inau.ua/document/lyst-no-87-vid-14062018-derzhavniy-sluzhbi-spec...). Слід зазначити, що частина пропозицій ІнАУ в остаточному тексті проекту постанови КМУ, не врахована.

Проте, цим листом звертаємо Вашу увагу, в першу чергу, на те, що пунктом 10 проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, які є додатком до проекту постанови КМУ, запропоновано, що: «органи державної влади отримують доступ до мережі Інтернет через Систему захищеного доступу до державних органів до мережі Інтернет Держспецзв’язку або через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не розповсюджується на Системи закордонних дипломатичних установ України.»

Вважаємо, що це положення є дискримінаційним та з ознаками монополізації ринку послуг доступу до Інтернет.

Запропоновані Адміністрацією Держспецзв’язку новації не відповідають нормам та положенням Конституції України, законодавства України та ЄС, зокрема:

- Закону України «Про телекомунікації»;

- Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»;

- Правилам здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет);

- Правилам надання та отримання телекомунікаційних послуг;

- Положенню про державну експертизу в сфері технічного захисту інформації;

- Директивам ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, які визначені Угодою про асоціацію.

Положення у названих законодавчих та нормативно-правових актах у сфері телекомунікацій не встановлюють запропонованого проектом постанови КМУ регулювання, а оператори, провайдери телекомунікацій не є суб’єктами, та їх обладнання не є об’єктами експертизи.

На нашу думку, вищезазначені новації матимуть наслідком обмеження права окремих операторів, провайдерів телекомунікацій надавати послуги доступу до Інтернет органам державної влади.

За інформацією НКРЗІ станом на 31.12.2017 до Реєстру операторів, провайдерів телекомунікацій було включено 4873 суб’єктів підприємницької діяльності. При цьому, за інформацією Держспецзв’язку, на сьогодні, лише 17 операторів, провайдерів телекомунікацій мають атестати відповідності, близько 40 – проходять державну експертизу у сфері ТЗІ.

Крім того, враховуючи значні фінансові витрати на проведення заходів щодо створення захищеного вузла та проведення відповідної експертизи на один об’єкт, то далеко не кожен має в наявності такі фінансові можливості, а, відтак, буде усунений з сегменту надання послуги доступу до мережі Інтернет органам державної влади.

Звертаємо увагу, що про відшкодування (компенсацію) збитків, що можуть бути завдані новаціями операторам, провайдерам телекомунікацій, за рахунок держави, взагалі не згадується.

Додатково звертаємо Вашу увагу ще й на наступне. 16 листопада 2018 року на офіційному веб-сайті Держспецзв’язку опубліковано проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет», який, як в ньому зазначено, буде регулювати порядок доступу органів виконавчої влади, інших державних органів, підприємств, установ та організацій державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, до мережі Інтернет. Зокрема, пунктом 12  Порядку доступу до мережі Інтернет пропонується, що вказана категорія абонентів, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, мають отримувати доступ до мережі Інтернет через:

1)        Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку або

2)        через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, або

3)        через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або

4)        через операторів, провайдерів телекомунікацій, які мають дійсний документ, що підтверджує відповідність системи управління інформаційною безпекою, що застосовується при обробці інформації в захищеному вузлі доступу, вимогам стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), виданого національним чи іноземним органом з оцінки відповідності, акредитованим національним органом України з акредитації чи іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001).

Тобто, передбачається, що суб’єкти державного сектору, з метою забезпечення захисту інформації, отримають 4 альтернативні способи доступу до мережі Інтернет, замість раніше «нав’язаного» обов’язку операторам, провайдерам телекомунікацій щодо створення захищеного вузла доступу та проведення відповідної експертизи.

Термін громадського обговорення зазначеного проекту документу ще триває.

Відтак, виникла суперечлива ситуація та, у разі затвердження, виникне колізія між умовами, визначеними у пункті 10 проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, які є додатком до проекту постанови КМУ та пунктом 12 проекту Порядку доступу до мережі Інтернет.

 

Враховуючи наведене, та з огляду на суспільну важливість порушеного питання для операторів, провайдерів телекомунікацій, просимо Вас, шановний Степане Івановичу, при розгляді проекту постанови КМУ на Урядовому комітеті розглянути питання щодо вилучення пункту 10 з тексту проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, які є додатком до проекту постанови КМУ та повернути розробнику на доопрацювання.

 

Про прийняте рішення просимо повідомити письмово.

 

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                О. Федієнко