Лист №203 від 11.11.2015 ДССЗЗІ щодо проекту Указу Президента України “Про деякі заходи щодо захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах”

11.11.2015
Відправник: 
ІнАУ, Інтернет Асоціація України

 

 

Голові Державної служби спеціального зв’язку та захисту інформації України

Євдоченку Л.О.

 

 

 

 

 

Вих. № 203

від «11» листопада 2015 року

 

Щодо проекту Указу Президента України “Про деякі

заходи щодо захисту державних інформаційних

ресурсів в інформаційно-телекомунікаційних системах”

 

Шановний Леоніде Олександровичу!

 

Адміністрацією Держспецзв'язку підготовлено та направлено на погодження до окремих органів влади проект Указу Президента України “Про деякі заходи щодо захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах” (далі — Проект). Проектом серед іншого пропонується доручити Кабінету Міністрів України затвердити у чотиримісячний строк порядок та забезпечити підключення інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, а також підприємств, установ та організацій, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, до глобальних мереж передачі даних через захищений програмно-апаратний комплекс центрального органу виконавчої влади, що забезпечує формування та реалізацію державної політики у сферах організації спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України (далі - ЦОВЗ), тобто виключно через систему захищеного доступу державних органів до Інтернету, що функціонує у складі НСКЗ та складається із сукупності територіально розподілених захищених вузлів Інтернет-доступу ЦОВЗ.

Відповідно до Указу Президента України від 24.09.2001 р. № 891/2001 та постанови Кабінету Міністрів України від 12.04.2002 р. № 522, забезпечення передачі органам виконавчої влади, іншим державним органам і підприємствам, установам та організаціям, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, даних глобальними мережами, здійснюється визначеними на конкурсних засадах відповідно до закону підприємствами – операторами, що здатні забезпечувати таку передачу з додержанням установлених законодавством вимог щодо захисту інформації та мають ліцензії на виконання робіт з технічного та криптографічного захисту інформації.

Треба зазначити, що наказ Державного комітету зв'язку та інформатизації України від 17.06.2002 №122 “Про затвердження Порядку складання та ведення переліку підприємств (операторів), які надають послуги з доступу до  глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям, які одержують, обробляють, поширюють і зберігають інформацію, що є об'єктом державної власності та охороняється згідно із законодавством” було виключено з Державного реєстру нормативно-правових актів та скасовано державну реєстрацію на підставі Висновку Міністерства юстиції ще 04.08.2006, як такий, що не відповідав вимогам законодавства. Також свого часу скасовано Указ Президента України від 22.04.1998 р. № 346/98 “Про деякі заходи щодо захисту інтересів держави в інформаційній сфері”, який зобов'язував Держкомзв'язку України “забезпечити вихід до закордонних мереж передачі даних виключно через мережі підприємств (операторів) “Укртелеком”, “Укркосмос”, “Інфоком”.

Звертаємо увагу, що пунктом 3.3. Стратегії національної безпеки України, затвердженої Указом Президента України від 26.05.2015 року №287/2015 (далі — Стратегія) одними із актуальних загроз національній безпеці України визначено слабкість, дисфункціональність, застарілу модель публічних інститутів, депрофесіоналізація та деградація державної служби, а також здійснення державними органами діяльності в корпоративних та особистих інтересах, що призводить до порушення прав, свобод і законних інтересів громадян та суб'єктів господарської діяльності.

В той же час, зміст новацій Проекту вказує, що його розробниками було повністю проігноровано утверджені Стратегією вищевказані загрози, свідченням чого є намір запровадження так званого “єдиного механізму підключення інформаційно-телекомунікаційних систем державних органів та підприємств, де обробляються державні інформаційні ресурси, до глобальних мереж передачі даних, виключно через захищений програмно-апаратний комплекс спеціально уповноваженого центрального органу виконавчої влади”, що призведе до позбавлення операторів телекомунікацій можливості надавати послуги доступу до глобальних мереж передачі даних вищевказаним державним органам та підприємствам та до знищення конкуренції.

Загальновідомим сьогодні є те, що підприємства телекомунікаційної галузі відіграють значну роль у забезпеченні обороноздатності та національної безпеки України, адже існуюча ситуація в країні як ніколи актуалізує питання надання телекомунікаційних послуг у відповідність до вимог законодавства (якість, безперервність, недопущення втручання в роботу телекомунікаційних мереж та ін.).

Практичний досвід засвідчує, що захист державних інформаційних ресурсів на даний час здійснюється  виключно завдяки зусиллям приватного сектору економіки, який в умовах постійної конкуренції, послідовно впроваджує в свою діяльність останні надбання науково-технічного прогресу, чого в свою чергу нажаль позбавлені профільні державні установи з підстав обмеженого фінансування та складних бюрократичних процедур.

Варто нагадати, що за часів Януковича, у вересні-жовтні 2010 року Мінекономіки було надано на розгляд Прем’єр-міністра України політичну пропозицію щодо реалізації державної політики у сфері розвитку інформаційного суспільства в Україні та проект Концепції державної політики у сфері розвитку інформаційного суспільства в Україні, які передбачали зокрема:

- перекладання повноважень забезпечення органів влади доступом до мережі Інтернет на Держспецзв’язку, якому не притаманні такі повноваження через відповідний статус спеціального відомства, та який в суспільстві асоціюється із спецслужбою;

- створення умов для перерозподілу ринку захисту державних інформаційних ресурсів та практичного знищення існуючої системи;

- погіршення умов підприємницької діяльності, зокрема у сфері захисту інформації тощо – тобто здійснити монополізацію ринку;

- отримання доступу до одноосібного перерозподілу бюджетних коштів та нанесення державі серйозних економічних збитків.

Враховуючи негативний суспільний резонанс (із-за невідповідності  законодавству та дискримінаційного характеру), що спричинили вищезазначені пропозиції Мінекономіки, вони були відхилені, однак сьогодні знову запозичені  розробниками Проекту та пропонуються до реалізації, як новації.

Згідно п. 4.6. Стратегії, Україна розглядає інтеграцію в політичні та економічні структури Європейського Союзу як пріоритетний напрям своєї зовнішньої і внутрішньої політики.

Слід зазначити, що в країнах ЄС доступ державних органів до Інтернету здійснюється виключно приватними операторами телекомунікацій.

Відповідно до п. 4.9. Стратегії, ключовою умовою нової  якості  економічного зростання є забезпечення економічної безпеки шляхом демонополізації економіки, захисту економічної конкуренції. 

Звертаємо увагу, що зведення проблематики захисту інформації лише до модернізації процесів державного управління та надання адміністративних послуг шляхом побудови захищених “інформаційно-телекомунікаційних платформ” суперечить як національному законодавству, так і міжнародним документам, наприклад документам Всесвітніх самітів з питань інформаційного суспільства (Женева 2003 — Туніс 2005).

Крім того, Проект не відповідає вимогам Закону України “Про засади державної регуляторної політики у сфері господарської діяльності” щодо недопущення прийняття економічно недоцільних та неефективних регуляторних актів, або актів, які не узгоджуються або дублюють діючі, не передбачають зменшення втручання держави у діяльність суб'єктів господарювання та усунення перешкод для розвитку господарської діяльності, а також законодавству у сфері конкуренції та монополізму, оскільки Проект зумовлює можливість антиконкурентних дій з ЦОВЗ.

Також одним з підтверджень зазначеного є те, що згідно з пояснювальною запискою Проект не погоджується з Антимонопольним комітетом України та Державною регуляторною службою України, а Громадська антидискримінаційна експертиза Проекту та консультації з громадськістю, взагалі не проводились.

Відповідно до пояснювальної записки до Проекту, під захищеним програмно-апаратним комплексом ЦОВВ, розуміється система захищеного доступу державних органів до Інтернету (далі — СЗДІ), що функціонує у складі Національної системи конфіденційного зв'язку та складається із сукупності територіально розподілених захищених вузлів Інтернет-доступу Держспецзв'язку.

При цьому, досі залишається незрозумілим, в контексті національної безпеки, питання приватизації ВАТ “Укртелеком” та подальше використання об’єктів спеціального зв’язку, які безпосередньо пов’язані з первинною мережею ПАТ “Укртелеком”. Незважаючи на те, що за умовами продажу ВАТ “Укртелеком” мала бути побудована телекомунікаційна мережа спеціального призначення (ТМСП), вона у фізичному вигляді сьогодні практично не існує і є здебільшого віртуальною. А основним постачальником телекомунікаційних послуг для державної системи урядового зв'язку так і залишається оператор телекомунікацій ПАТ “Укртелеком”.

Таким чином, розробники Проекту, пропонуючи забезпечити доступ виключно через так звану систему захищеного доступу державних органів до Інтернету, що функціонує у складі НСКЗ, і цілком залежна від ПАТ “Укртелеком”, тим самим зумовлюють реальну загрозу національній безпеці держави, оскільки вплив зовнішніх факторів на мережу одного оператора (внаслідок аварій, диверсій та ін.) одночасно зумовить припинення функціонування ресурсів усіх органів влади та паралізує їх діяльність, що сьогодні не може здійснюватися без доступу до Інтернет.  

Тому занепокоєння у операторів телекомунікацій викликає не лише можливе розірвання договірних відносин зі споживачами — державними органами, мова йде насамперед про те, чи наявний на сьогодні у Держспецзв'язку повний комплекс технічних, адміністративних можливостей забезпечувати недопущення несанкціонованого доступу до СЗДІ та інформації, що буде нею передаватися  для державних потреб, особливо в умовах воєнної  і інформаційної агресії?

Згідно ст. ст. 1, 27 Закону України «Про телекомунікації» право на здійснення технічного обслуговування та експлуатації телекомунікаційних мереж та відповідальність по забезпеченню їх сталості (забезпечення функціонування в умовах впливу дестабілізуючих чинників)  покладено на операторів телекомунікацій. Крім того, ч. 7 ст. 27 Закону передбачено, що оператори телекомунікацій, незалежно від форм власності, в першу чергу надають у користування на договірних засадах ресурси своїх мереж державній системі урядового зв'язку, національній системі конфіденційного зв'язку, органам з надзвичайних ситуацій, безпеки, оборони, внутрішніх справ України у порядку, встановленому ЦОВЗ.

Ч. 8 вказаної статті Закону операторів зобов'язано встановлювати спеціальний режим доступу відповідно до законодавства на об'єктах телекомунікацій, а також в окремих структурних підрозділах, де передається, обробляється або зберігається інформація з обмеженим доступом, що є власністю держави.

Лише оператори телекомунікацій, згідно з п. 17 ч. 1 ст. 39 Закону,  сьогодні законодавчо зобов'язані вживати заходів для недопущення несанкціонованого доступу до телекомунікаційних мереж та інформації, що передається цими мережами.

При, цьому необхідно зауважити, що відповідно до ст. ст. 80, 81, 91, 627 Цивільного кодексу України державні органи, як юридичні особи публічного права,  є вільними в укладенні договору, виборі контрагента та визначенні умов договору з урахуванням вимог Кодексу, інших актів цивільного законодавства, звичаїв ділового обороту, вимог розумності та справедливості.

До того ж, п. 4. ч. 1. ст. 32 Закону передбачає, що споживачі під час замовлення та/або отримання телекомунікаційних послуг мають право на вибір оператора телекомунікацій, безпеку телекомунікаційних послуг та вільний доступ до них.

Підсумовуючи вищевикладені законодавчі норми, слід зазначити, що забезпечення телекомунікаційними послугами органів державної влади сьогодні може здійснюватися виключно операторами телекомунікацій, на яких Законом покладено низку обов'язків по забезпеченню сталості телекомунікаційних мереж та захисту інформації та які мають необхідний ресурс для їх належного виконання.

Також звертаємо увагу, що положеннями Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” не встановлено виключного права державного органу або будь-якого підприємства на забезпечення доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом або забезпечення захисту такої інформації в системі.

Згідно з вимогами Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Уряду від 29.03.2006 р. № 373, виконавцем робіт із створення системи захисту  може  бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.

Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.

Наказом Адміністрації Держспецзв’язку від 02.12.2014 № 660 затверджено Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У разі виявлення в ІТС, де створено КСЗІ з підтвердженою відповідністю, додаткових загроз державним інформаційним ресурсам, які виникли за період експлуатації КСЗІ, надаються рекомендації стосовно підвищення рівня захищеності державних інформаційних ресурсів.

Одночасно нагадуємо, що Планом заходів щодо захисту державних інформаційних ресурсів, затвердженим розпорядженням Кабінету Міністрів України від 5 листопада 2014 р. № 1135-р, передбачено протягом 2014-2015 років сформувати перелік об’єктів, що належать до критичної інформаційної інфраструктури держави, організувати та провести оцінку стану захищеності державних інформаційних ресурсів зазначених об’єктів, зокрема розробити та подати для затвердження Кабінетові Міністрів України порядок віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік таких об’єктів. Проте, це завдання до цього часу не виконано.

Таким чином, пропоновані Проектом нововведення є економічно недоцільними, неефективними, дублюють положення діючих актів законодавства та несуть в собі визначені Стратегією загрози національній безпеці України та повністю суперечать визначеним даним нормативно-правовим документом ключовим умовам економічного зростання та інтеграції в ЄС.  

Відповідно до п. 1. ст. 106 Конституції України, Президент України забезпечує національну безпеку, однак Проект, зважаючи на невідповідність положенням Стратегії та вимогам законодавства, при подальшому впровадженні призведе до прямо протилежних наслідків.

Оскільки пропонована редакція Проекту не враховує досвід країн ЕС, суперечить діючому законодавству України, нівелює існування рівноправної конкуренції на ринку телекомунікацій та при подальшому впровадженні призведе до виникнення нових загроз національній інформаційній безпеці України, пропонуємо відкликати зазначений документ.

 

 

 

З повагою,

 

Голова Правління

Інтернет Асоціації України                                                                        О.Федієнко