Голові Державної служби спеціального зв’язку
та захисту інформації України
ПЕТРОВУ В.В.
вул. Солом’янська, 13, м. Київ, 03110
Вих. № 48
від 09.04.2020
Щодо зауважень та пропозицій до проекту закону
Шановний Валентине Володимировичу!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлює Вам свою повагу та звертається з приводу наступного.
10 березня 2020 року Державною службою спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) на вебсайті www.dsszzi.gov.uа оприлюднено проект Закону про безпеку інформації та інформаційно-комунікаційних систем.
ІнАУ, здійснивши аналіз положень проекту Закону, надає окремі зауваження та пропозиції, які просимо врахувати при опрацюванні тесту проекту Закону та, одночасно, звертаємося з проханням продовжити строки для надання зауважень та пропозицій до проекту Закону у зв’язку із необхідністю ретельного його вивчення та аналізу.
1. У статті 1 проекту Закону термін «блокування інформації в системі» пропонується визначити як «дії, внаслідок яких унеможливлюється доступ до інформації в системі».
Проте, далі по тексту проекту Закону не розкривається, наприклад, які це дії, ким саме здійснюється блокування, для кого доступ в системі унеможливлюється внаслідок блокування і т.д.
Тобто, запропоноване у статті 1 проекту Закону визначення терміну «блокування інформації в системі» потребує суттєвого доопрацювання задля його однакового розуміння та застосування особами, на яких поширюватиметься дія закону.
2. У статті 1 проекту Закону термін «володілець інформації» пропонується визначити як «фізична або юридична особа, якій належать права на інформацію».
Проте, із такої редакції визначення складається враження, що володілець інформації це її власник. Якщо саме таке розуміння терміну вкладає розробник, то, для однозначного застосування цього закону, необхідно деталізувати, як саме закріплюються права власності на інформацію в інформаційно-комунікаційній системі.
3. У статті 1 проекту Закону термін «життєво важливі послуги та функції (далі – основні послуги)» пропонується визначити як «послуги та функції, які надаються органами державної влади, установами, підприємствами та організаціями будь-якої форми власності, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України».
Вважаємо, було б доречним положення проекту Закону доповнити хоча б орієнтовним переліком основних послуг з метою розуміння предмету закону та однозначного застосування щодо виконання положень, предметом регулювання яких будуть основні послуги.
4. У статті 1 проекту Закону термін «електронна комунікаційна мережа» пропонується визначити як «комплекс технічних засобів електронних комунікацій та споруд, призначених для надання електронних комунікаційних послуг».
Проте, пропонуємо даний термін виключити із тексту проекту Закону, оскільки це загальне визначення терміну, яке буде застосовуватись не лише у цьому законі. Крім того, наразі у Верховні Раді України вже зареєстровано проекту Закону про електронні комунікації (реєстр. № 3014 від 05.02.2020), положеннями якого і запропоновано визначення терміну «електронна комунікаційна мережа».
5. У статті 1 проекту Закону термін «несанкціоновані дії щодо інформації в системі» пропонується визначити як «дії, що провадяться з порушенням встановленого порядку доступу до цієї інформації».
Проте, у тексті проекту Закону не розкрито, які саме «дії», що таке та ким встановлюється порядок доступу до інформації. Слід зауважити, що запропонований термін «порядок доступу до інформації в системі» також не є досконалим та точним.
6. У статті 1 проекту Закону термін «цифрові послуги» визначити як «послуга електронної торгівлі он-лайн; пошук он-лайн; послуги хмарних обчислень».
Проте, пропонуємо із тексту цього проекту Закону виключити цей термін, оскільки запропонований термін послуг може бути неповним, або конкретизувати, що цей термін застосовується виключно у цьому законі.
7. Частиною третьою статті 5 проекту Закону пропонується надати ряд повноважень у сфері безпеки інформації та інформаційно-комунікаційних систем спеціально уповноваженому органу з безпеки інформації та інформаційно-комунікаційних систем (ОБІС, Network and Information Security Authority, NISA).
Вважаємо дане питання потребує додаткового широкого обговорення.
Враховуючи наведене, вважаємо, що проект цього Закону потребує суттєвого доопрацювання.
Крім того, вважаємо за доцільне для розроблення положень цього проекту Закону створити робочу групу, до якої включити фахівців у сфері кібербезпеки, ДССЗЗІ, інших державних органів, а також представників ринків телекомунікаційних послуг та галузевих асоціацій.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков