Лист № 92/1-2 від 16.04.2019 КМУ та Держспецзв'язку щодо проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»

Вихідні реквізити
Вих. № 92/1-2 від 16.04.2019
Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
Прем'єр-міністр України
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Прем’єр-Міністру України

ГРОЙСМАНУ В.Б.

 

Голові Державної служби спеціального зв’язку

та захисту інформації України

Євдоченку Л.О.

вул. Солом’янська, 13, м. Київ 03110

Вих. № 92/1-2

від 16 квітня 2019 року

 

Щодо проекту постанови Кабінету

Міністрів України «Про затвердження

Загальних вимог з кіберзахисту об’єктів

критичної інфраструктури, критеріїв та

порядку віднесення об’єктів до об’єктів

критичної інфраструктури»

 

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 200 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.

Державною службою спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) розроблено проект постанови Кабінету Міністрів України «Про затвердження  Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» (далі – проект постанови), який буде подано до Кабінету Міністрів України на затвердження.

Листом від 14.06.2018 № 87 ІнАУ надавала до ДССЗЗІ свої зауваження та заперечення до проекту постанови. А листом від 29.11.2018 № 202 ІнАУ зверталась з пропозицією розглянути на Урядовому комітеті з питань економічної, фінансової та правової політики, розвитку паливно-енергетичного комплексу, інфраструктури, оборонної та правоохоронної діяльності Кабінету Міністрів України питання про вилучення пункту 10 з тексту проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури (далі – проект Загальних вимог), які є додатком до проекту постанови та повернути розробнику проект постанови на доопрацювання.

09 січня 2019 року від ДССЗЗІ надійшов лист від 27.12.2018 № 05/02-4125, у якому надано роз’яснення щодо наведених ІнАУ у листі від 29.11.2018 № 202 зауважень до проекту постанови. В свою чергу, ІнАУ листом від 22.01.2019 № 06 надала додаткові пояснення, заперечення щодо доцільності вилучення пункту 10 з тексту проекту Загальних вимог.

Проте, ДССЗЗІ листом від 09.04.2019 № 05/92-367 повідомила, що «позиція Держспецзв’язку залишається незмінною».

Враховуючи наведене, ІнАУ, зі свого боку, вважає за необхідне ще раз звернути увагу на недоцільність прийняття проекту постанови у запропонованій редакції та доопрацювати пункт 10 проекту Загальних вимог.  

У пункті 10 проекту Загальних вимог вказується два варіанти, використовуючи які, органи державної влади можуть отримувати доступ до мережі Інтернет, а саме: 1) через Систему захищеного доступу до державних органів до мережі Інтернет Держспецзв’язку або 2) через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю.

Порядок надання послуги доступу до Інтернету, в т.ч. організаційні, кваліфікаційні, технологічні вимоги до операторів, провайдерів телекомунікацій, які надають ці послуги своїм абонентам, на сьогодні, врегульовано Законом України «Про телекомунікації», Правилами надання та отримання телекомунікаційних послуг, затвердженими постановою Кабінету Міністрів України від 11.04.2012 № 295, Правилами здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), затвердженими рішенням НКРЗІ від 10.12.2013 № 803, зареєстрованим в Міністерстві юстиції України 03.02.2014 за № 207/24984 та якими не передбачено ані окремих категорій отримувачів послуги доступу до Інтернету, ані окремих вимог при наданні послуги окремим абонентам.

Тобто, положеннями законодавства у сфері телекомунікацій, якими регулюється діяльність у сфері надання послуг доступу до Інтернету, не встановлено, що оператори, провайдери телекомунікацій при наданні послуг органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси,  повинні установити захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю.

З інформації ДССЗЗІ, викладеної у листі від 27.12.2018 № 05/02-4125, слідує, що «вартість апаратного та програмного забезпечення у мінімальній комплектації, необхідного для створення захищеного вузла доступу до мережі Інтернет, становить близько 300-400 тис.грн.» Оператори, провайдери телекомунікацій також несуть витрати, пов’язані зі створенням комплексної системи захисту інформації на захищений вузол доступу до мережі Інтернет з підтвердженням її відповідності, що, як зазначає ДССЗЗІ, становить 10-15% вартості самої системи.

Тобто, у проекті постанови пропонується встановити додаткові технологічні вимоги для операторів, провайдерів, які надають послуги доступу до мережі Інтернет. Таке додаткове обладнання оператори, провайдери телекомунікацій повинні будуть придбавати за власні кошти.

Повноваження ДССЗЗІ щодо державного управління у сфері телекомунікацій визначені у статті 15 Закону України «Про телекомунікації». Відповідно до статті 18 цього Закону Правила здійснення діяльності у сфері телекомунікацій встановлює НКРЗІ.

Відповідно до пункту 8 Правил підготовки проектів актів Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 06.09.2005 № 870, перед початком підготовки проекту постанови з’ясовується, чи належить питання, яке передбачається врегулювати, до компетенції Кабінету Міністрів України.

У пункті 2 §29 Глави 1 Розділу 4 Регламенту Кабінету Міністрів України, затвердженого постановою Кабінету Міністрів України від 18.07.2007 № 950 зі змінами, передбачено, що постанови Кабінету Міністрів видаються з питань затвердження положення, статуту, порядку, регламенту, правил, методики та в інших випадках, коли суспільні відносини потребують нормативно-правового регулювання.

До повноважень Кабінету Міністрів України у сфері телекомунікацій, які чітко регламентовано статтею 14 Закону України «Про телекомунікації», не належить право державного регулювання у сфері телекомунікацій.

У листі від 09.04.2019 № 05/92-367 з посиланням на Закон України «Про основні засади забезпечення кібербезпеки України» ДССЗЗІ зауважує, що суб’єкти забезпечення кібербезпеки повинні приймати участь у захисті державних інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах органів виконавчої влади, інших державних органів, підприємств, установ та організацій та які підключені до мережі Інтернет. Проте, такі обов’язки для суб’єктів забезпечення кібербезпеки прямо не передбачені у статті 5 Закону України «Про основні засади забезпечення кібербезпеки України». Тим більше, цим Законом не встановлюється і обов’язок суб’єктів забезпечення кібербезпеки приватного сектору придбавати за власні кошти обладнання для захисту державних інформаційних ресурсів. Натомість, з урахуванням статті 10 цього Закону, саме у межах державно-приватної взаємодії у сфері кібербезпеки, можливе створення системи своєчасного виявлення, запобігання та нейтралізації кіберзагроз тощо.

В межах проекту постанови мова ведеться виключно про порядок доступу до мережі Інтернет суб’єктів державного сектору. Отже, результатом підвищення оператором, провайдером телекомунікацій вартості послуг доступу до Інтернету буде виключно збільшення витрат з державного бюджету на закупівлю (отримання) цієї послуги.

Відтак, на наш погляд, доречно було б саме в державному бюджеті передбачити кошти на створення органами державної влади власних Систем захищеного доступу до мережі Інтернет зі створеними КСЗІ з підтвердженою відповідністю.

Крім того, звертаємо увагу, що редакція пункту 10 проекту Загальних вимог не узгоджується з положеннями пункту 4 проекту постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет», розробленого ДССЗЗІ та яким також заплановано врегулювання відносин між органами виконавчої влади, іншими державними органами, підприємствами, установами та організаціями державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси та операторами, провайдерами телекомунікацій.

 

Враховуючи наведене, просимо Кабінет Міністрів України не затверджувати постанову у запропонованій ДССЗЗІ редакції та направити розробнику на доопрацювання з метою приведення пункту 10 проекту Загальних вимог у відповідність до законодавства.

Відповідно до частини другої статті 318 ЦК України усі суб’єкти права власності є рівними перед законом. Частиною третьою, шостою статті 319 ЦК України визначено, що усім власникам забезпечуються рівні умови здійснення своїх прав; держава не втручається у здійснення власником права власності. Проте, в даному випадку, проектом постанови пропонується обов’язки держави в особі державних органів перекласти на суб’єктів приватного сектору економіки без будь-якої компенсації понесених ними фінансових витрат.

У разі впровадження положення, запропонованого у пункті 10 проекту Загальних вимог, в першу чергу, ці положення зачіпатимуть інтереси саме операторів, провайдерів телекомунікацій і, у разі надання ними послуг доступу до Інтернету або намірів надавати ці послуги, саме ними будуть понесені додаткові фінансові витрати, а не державними органами, чим, вважаємо, буде порушено баланс інтересів права власності державного та приватного секторів.

 

Додаток (на адресу КМУ):

1. Копія листа ІнАУ від 14.06.2018 № 87;

2. Копія листа ІнАУ від 29.11.2018 № 202;

3. Копія листа ДССЗЗІ від 27.12.2018 № 05/02-4125;

4. Копія листа ІнАУ від 22.01.2019 № 06;

5. Копія листа ДССЗЗІ від 09.04.2019 № 05/92-367.

 

З повагою

Голова Правління Інтернет Асоціації України                                                  О.Федієнко