Голові Державної служби спеціального
зв’язку та захисту інформації України
ЩИГОЛЮ Ю.Ф.
Вих. № 30
від 10.03.2023
Щодо перевірки системи фільтрації фішингових доменів на
предмет наявності комплексної системи захисту інформації
Шановний Юрію Федоровичу!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 230 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, значна частина яких є операторами електронних комунікацій, які надають послуги доступу до мережі Інтернет, висловлюємо Вам свою повагу та звертаємося з наступним.
Відповідно до Статуту, одним із напрямків діяльності ІнАУ є представництво та захист учасників в органах центральної та місцевої влади, інших державних та недержавних установах і організаціях з питань розвитку Інтернету, послуг в мережі Інтернет та ІКТ.
Національною комісією, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку на власному вебсайті опубліковано розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (далі – НЦУ) від 30.01.2023 № 67/850 «Про впровадження системи фільтрації фішингових доменів» (далі – розпорядження НЦУ), див. за посиланням в мережі Інтернет
https://nkrzi.gov.ua/index.php?r=site/index&pg=99&id=2580&language=uk.
Відповідно до цього розпорядження НЦУ, постачальники електронних комунікаційних мереж та послуг протягом 30 календарних днів повинні здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів. Версія 1.0 (далі – Регламент).
У Регламенті зазначено, що система фільтрації фішингових доменів є складовою Національного сервісу доменних імен (DNS).
Відтак, є підстави вважати, що Національний сервіс доменних імен (DNS) та система фільтрації фішингових доменів є окремими інформаційно-комунікаційними системами та, відповідно до Закону України «Про захист інформації в інформаційно-комунікаційних системах», повинні бути захищені, в т.ч. інформація, яка знаходиться в цих системах. Відповідно до частини другої статті 8 цього Закону, державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.
Відповідно до частин першої-другої статті 21 Закону України «Про інформацію», інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація. Конфіденційною є інформація про фізичну особу, інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, а також інформація, визнана такою на підставі закону.
З огляду на те, що розділом 9 Регламенту передбачено, що «при переході на лендінгову сторінку у Системі зберігається технічна інформація, що включає дату і час, ІР адресу (підмережу), з якої здійснюється перехід, доменне ім’я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо», то в системі фільтрації фішингових доменів може оброблятись інформація з обмеженим доступом, а саме – конфіденційна інформація про особу (користувачів мережі Інтернет). Відтак, є підстави вважати, що система фільтрації фішингових доменів повинна оброблятись із застосуванням комплексної системи захисту інформації.
Враховуючи зазначене та відповідно до статей 14, 15 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», Закону України «Про захист інформації в інформаційно-комунікаційних системах», просимо здійснити перевірку на предмет того, чи має система фільтрації фішингових доменів комплексну систему захисту інформації.
У разі, якщо ця система не повинна мати комплексну систему захисту інформації, просимо обґрунтувати.
Про результати розгляду цього звернення просимо повідомити письмово.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК