Лист №135 від 23.08.2016 ДССЗЗІ щодо зауважень до проекту Технічного регламенту системи управління інформаційною безпекою

23.08.2016
Відправник: 
ІнАУ, Інтернет Асоціація України

 

Голові Державної служби спеціального

зв’язку та захисту інформації України

Євдоченку Л.О.

 

 

 

 

Вих. №135

від «23» серпня 2016 р.

 

Шановний Леоніде Олександровичу!

Інтернет Асоціація України (далі – ІнАУ) висловлює Вам свою повагу та звертається з наступного приводу.

На веб-сайті Державної служби спеціального зв’язку та захисту інформації України (далі ˗ Держспецзвʼязку) у підрозділах «Регуляторна діяльність» та «Консультації з громадськістю» 27.07.2016 оприлюднений проект Технічного регламенту системи управління інформаційною безпекою (далі – проект Регламенту).

Як зазначено, проект Регламенту розроблено з метою удосконалення системи технічного захисту інформації у напрямі організації робіт із захисту інформації в інформаційно-телекомунікаційних системах та на об’єктах інформаційної діяльності в органах державної влади, на підприємствах, в установах, організаціях.

Опрацювавши проект Регламенту, ІнАУ надає зауваження та пропозиції для їх врахування в остаточній редакції документу.

 

1. Проект Регламенту має не визначений нормативно-юридичний статус.

Процедура підготовки проектів регуляторних актів врегульована, зокрема, статтями 7 та 8 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності».

Відтак, Держспецзвʼязку, в супереч статті 7 вказаного Закону, не включила проект Регламенту до Плану діяльності з підготовки проектів регуляторних актів на 2016 рік та не надала Аналізу регуляторного впливу стосовно оприлюдненого проекту Регламенту, необхідність підготовки якого визначена статтею 8 вказаного Закону.

Проект Регламенту не містить жодних посилань на нормативно-правовий акт Держспецзвʼязку чи іншого державного органу, яким планується його затвердження, а, відтак, врегульовуватимуться господарські та адміністративні відносини.

2. У тексті проекту Регламенту є низка термінів, які не мають визначення дефініцій, зокрема: «інформаційна безпека», «об’єкти інформаційної діяльності», «загальнодержавне значення», «модель розподіленої та віддаленої обробки і зберігання даних», «інформаційна технологія», «онлайн-інтернет-сервіси» тощо.

Відтак, наявність в проекті Регламенту термінів, які не мають визначення дефініцій, має наслідком формування підстав для виникнення неоднозначного їх застосування та певних корупційних ризиків.

 

3. Відповідно до Закону України «Про технічні регламенти та процедури оцінки відповідності» (далі Закон): «технічний регламент – закон України або нормативно-правовий акт, прийнятий Кабінетом Міністрів України, у якому визначено характеристики продукції або пов'язані з нею процеси чи способи виробництва, а також вимоги до послуг, включаючи відповідні положення, дотримання яких є обов'язковим. Він може також містити вимоги до термінології, позначок, пакування, маркування чи етикетування, які застосовуються до певної продукції, процесу чи способу виробництва».

Таким чином, з огляду на це визначення, технічний регламент встановлює вимоги до продукції або послуги.

Проте, проект Регламенту «визначає основні вимоги до системи управління інформаційною безпекою (далі – СУІБ) і регламентує питання, що стосуються організації діяльності із захисту інформації органу владних повноважень, організації, підприємства, установи (далі – установа)». Тобто, у проекті Регламенту мова не йде про виробництво продукції або послуг для потреб інших осіб.

Відтак, предмет правового регулювання проекту Регламенту не відповідає Закону, тому не може мати назву «Технічний регламент».

 

4. Проект Регламенту має чисельні норми, які містять значні корупційні ризики внаслідок не конкретних та не чітких формулювань та вимог, відсутності методик визначення певних показників тощо. Наприклад, «поняття ділового ризику» (пункт 3), «максимальний залишковий ризик» (абзац 7 пункту 4), «складові частини технологічного забезпечення інфраструктури СУІБ є документація, яка описує політики, процеси і процедури, що застосовуються …» (пункт 8).

Тому, з наведеного змісту, не зрозуміло якої саме політики повинна стосуватись документація, яка «описує політики, процеси і процедури, що застосовуються…».

Тому, вказані формулювання у тексті проекту Регламенту потребують уточнення.

 

5. Проект Регламенту має чисельні норми, в яких спостерігається перевищення повноважень Держспецзв’язку, як органу державної влади, всупереч статті 19 Конституції України.

Наприклад, у абзаці 2 пункту 4 проекту Регламенту дається визначення поняття «інформація, що потребує захисту – будь-яка інформація, необхідність захисту якої встановлено законодавством, або рішення щодо необхідності захисту якої прийнято її володільцем». А, у пункті 7 проекту Регламенту зазначеного, що «складовими частинами технічного забезпечення інфраструктури СУІБ є об’єкти, на яких обробляється інформація, що підлягає захисту згідно з законодавством або згідно з прийнятим керівництвом установи рішенням…».

Проте, відповідно до статті 3 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» (далі – Закон) повноваження Держспецзв’язку розповсюджуються на захист інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Крім цього, у пункті 9 проекту Регламенту зазначено, що «складовими частинами кваліфікаційного забезпечення інфраструктури СУІБ є заходи …спеціального навчання з питань охорони праці, пожежної безпеки, …порядку відбору кваліфікованих виконавців окремих робіт, які виконуються сторонніми організаціями».

Разом з цим, відповідно до статті 3 Закону повноваження Держспецзв’язку не розповсюджуються на питання спеціального навчання з питань охорони праці, пожежної безпеки, порядку відбору кваліфікованих виконавців окремих робіт.

У частині другій пункту 10 проекту Регламенту зазначено, що «технічний регламент є обов’язковим для виконання суб’єктами владних повноважень, іншими суб’єктами, на ОІД та в ІТС яких обробляється інформація, необхідність захисту якої вимагається законодавством, за умови виконання хоча б одного з таких критеріїв

Але, відповідно до статті 3 Закону повноваження Держспецзв’язку не розповсюджуються на захист інформації, «необхідність захисту якої вимагається законодавством, за умови виконання хоча б одного з таких критеріїв».

У абзаці 5 частини другої пункту 10 проекту Регламенту зазначеного, що «в установі експлуатуються ІТС, кожна з яких не задовольняє зазначеним у п.10 критеріям, але їх загальна кількість перевищує 100 одиниць».

Проте, відповідно до статті 3 Закону повноваження Держспецзв’язку не розповсюджуються на експлуатацію ІТС, якщо їх понад 100 одиниць.

 

6. Документ відповідно до пункту 12 проекту Регламенту передбачає застосування Національного знаку відповідності.

Національний знак відповідності (далі – знак відповідності) засвідчує відповідність позначеної ним продукції вимогам технічних регламентів, які поширюються на неї (пункт 1 Правил застосування національного знака відповідності, затверджених постановою Кабінету Міністрів України від 29.11.2001 № 1599).

Відтак, Національний знак відповідності не може бути застосований в рамках цього проекту Регламенту.

 

7. У пункті 15 проекту Регламенту зазначено, що «у проектній документації СУІБ повинно бути зазначено допустиму величину ризику, визначену розрахунковим та/або експериментальним методом, та/або шляхом залучення експертів, та/або з використанням даних щодо експлуатації СУІБ в установах з аналогічною інфраструктурою».

Припис «… величину ризику, визначену та/або з використанням даних щодо експлуатації СУІБ в установах з аналогічною інфраструктурою» базується на не припустимій методологічній помилці.

«Аналогічність інфраструктури» ніяким чином не пов’язані ані з моделлю загроз, ані з моделлю порушника, ані з моделлю роботи ІТС.

Тому, пропонується вилучити зазначене речення з проекту Регламенту.

 

8. У пункті 16 проекту Регламенту зазначено: «Власник СУІБ розробляє комплект проектної, експлуатаційної, технологічної та іншої нормативної документації, склад і зміст якої повинен бути достатнім для проведення оцінки відповідності СУІБ вимогам цього Технічного регламенту».

Припис «… розробляє комплект проектної, експлуатаційної, технологічної та іншої нормативної документації, склад і зміст якої повинен бути достатнім для…» є не конкретним та допускає довільне трактування, відтак, створює корупційні ризики.

 

9. У пункті 16 проекту Регламенту зазначено: «Упровадження СУІБ не увільняє власника установи від необхідності вжиття заходів з технічного та криптографічного захисту інформації, передбачених нормативними документами для об’єктів відповідної класифікації та призначення, на кожному конкретному ОІД або в ІТС».

Проте, заходи з технічного та криптографічного захисту інформації є необхідною частиною СУІБ, як це зазначено у пунктах 7 та 8 проекту Регламенту.

Тому, пропонується вилучити зазначене речення із тексту проекту Регламенту.

 

10. У пункті 23 проекту Регламенту зазначено: «при проведенні оцінки відповідності СУІБ застосовуються процедури (механізми) згідно з модулем D Технічного регламенту модулів оцінки відповідності та вимог щодо маркування національним знаком відповідності, які застосовуються в технічних регламентах, затвердженого постановою Кабінету Міністрів України від 7 жовтня 2003 р. № 1585».

Відповідно до Закону України «Про технічні регламенти та процедури оцінки відповідності» технічний регламент встановлює вимоги до продукції або послуги.

Відтак, предмет правового регулювання проекту Регламенту не відповідає Закону, тому не допустимо посилатись на нормативні акти, які були прийняті на виконання вимог зазначеного Закону, зокрема на постанову Кабінету Міністрів України від 07.10.2003 №1585.

 

11. У пунктах 23, 24, 27-29 проекту Регламенту вимагається складання декларації про відповідність інфраструктури СУІБ вимогам Технічного регламенту.

Проте, не зрозуміла вимога щодо складання декларації про відповідність інфраструктури СУІБ вимогам Технічного регламенту, якщо вже існує експертний висновок на відповідність СУІБ вимогам цього Технічного регламенту відповідно до пункту 22 проекту Регламенту.

Тому, пропонується вилучити пункти 24, 27, 28, 29 із тексту проекту Регламенту.

 

З огляду на наведені зауваження, зокрема:

·         на наявність пунктів проекту Регламенту, зміст яких свідчить про формування умов для виникнення певних корупційних ризиків, перевищення повноважень Держспецзв’язку як органу державної влади, що не відповідає принципам, встановленим статтею 19 Конституції України, не відповідність окремих положень проекту Регламенту юридичним актам вищої сили, наявність протиріч технічного та юридичного характеру;

·         на не визначеність нормативно-юридичного статусу проекту Регламенту,

ІнАУ пропонує суттєве доопрацювання положень проекту Регламенту зі зміною його концепції з урахуванням наданих зауважень.

 

 

 

 

З повагою,

 

Заступник Голови Правління

Інтернет Асоціації України                                                                               О. Гусєв