Ответ СБУ на запрос Госкомсвязи в связи с письмом ИнАУ относительно приказа Госкомсвязи № 122

13.01.2004
Отримувач: 
ІнАУ, Інтернет Асоціація України

ДЕРЖАВНИЙ КОМІТЕТ ЗВ'ЯЗКУ ТА ІНФОРМАТИЗАЦІЇ УКРАЇНИ


01001, м. Київ-1 , вул. Хрещатик, 22
тел. 228- 1 5-00   факс 228-6 1-41
www.stc.gov.ua  
e-mail: mailbox @stc. gov.ua


Інтернет Асоціація України
вул. О.Гончара, 15/3,
м.Київ, 0 1 025

Щодо наказу Держкомзв'язку від 17.06.02р. № 122

Як уже повідомлялось у листі від 26.12.03р. № 8622/03-15, Держкомзв'язку за
дорученням Комітету Верховної Ради України з питань будівництва, транспорту і
зв'язку від 22.12.03р. розглянув вашого листа від 03.12.03р. № 275 щодо наказу
Держкомзв'язку від 17.06.02р. № 122. Оскільки викладена у вашому листі вимога
щодо вилучення з наказу №122 умови наявності системи моніторингу в оператора
(провайдера), який бажає бути включеним до переліку підприємств (операторів), які
надають послуги з доступу до глобальних мереж передачі даних органам виконавчої
влади, іншим державним органам, підприємствам, установам та організаціям, які
одержують, обробляють, поширюють і зберігають інформацію, що є об'єктом державної
власності та охороняється згідно із законодавством, стосується сфери компетенції
Служби безпеки України, Держкомзв'язку було направлено до СБУ листа з проханням
терміново надати детальне роз'яснення необхідності включення вимоги стосовно
системи моніторингу до зазначеного наказу.
Службою безпеки України надано відповідь на порушені у зазначеному листі питання
(копія листа СБУ додається).
Додаток: копія листа СБУ від 29.12.03р. № 1911 на 3 арк. в 1 прим.


В.о. Голови                                                  О. Проживальський


 

                               СЛУЖБА БЕЗПЕКИ УКРАЇНИ

01034, м. Київ, вул. Володимирська, 33,
тел. (044) .291-99-05
  
                                            Заступнику Голови Державного комітету
                                            зв'язку та інформатизації України
                                            Проживальському О.П.

Щодо вимоги стосовно системи моніторингу
у Порядку складання та ведення переліку
підприємств (операторів), які надають
послуги з доступу до глобальних мереж
передачі даних органам виконавчої влади,
іншим державним органам, підприємствам,
установам та організаціям, які одержують,
обробляють, поширюють і зберігають інформацію,
що є об'єктом державної власності та
охороняється згідно із законодавством

                          Шановний Олегу Петровичу!

Службою безпеки України уважно розглянуто листа Міністерства юстиції України
№ 24-50-3402 від 17.12.03р. та листа Держкомзв'язку № 8557/19-03-15 від 25.12.03р.
Вважаємо, що висновки Інтернет-асоціації щодо незаконності укомплектування
системою моніторингу для контролю за забезпеченням безпеки інформації у мережах
передачі даних є необгрунтованими з наступних причин.
У своєму листі ІнАУ підмінює поняття „моніторинг з метою контролю за
забезпеченням безпеки інформації" на „контроль усієї інформації, яка проходить по
каналах оператора".
Термін „безпека інформації" визначено в законодавстві як „захищеність інформації
від несанкціонованих дій (випадкових чи навмисних), що призводять до модифікації,
розкриття чи руйнування даних" (Постанова КМУ „Про затвердження Концепції
створення Єдиної державної автоматизованої паспортної системи" від 20.01.97 р.
№ 40).
Термін „моніторинг мережі" визначено як збір, обробка, збереження та аналіз
інформації про поточний стан мережі без втручання в її функціонування (наказ
Держкомзв'язку України „Про затвердження Положення про діяльність операторів
міжміського, міжнародного зв'язку телефонної мережі загального користування
України та їх взаємодію між собою" від 14.02.01 p. № 19, зареєстрованого в
Міністерстві юстиції України 27.04.01р. за №372/5563).
Зміст поняття "моніторинг безпеки інформації" містить у собі збір, обробку,
збереження та аналіз інформації про захищеність інформації від несанкціонованих
дій (випадкових чи навмисних), що призводять до модифікації, розкриття чи
зруйнування даних, що є власністю держави. Тобто обладнання, про яке йдеться в
наказі № 122, не призначене до перехоплення будь-якої інформації, що проходить по
каналах оператора.
Основною функцією такого обладнання є виявлення на каналах, що передають
інформацію, яка є власністю держави, фактів несанкціонованих дій (випадкових чи
навмисних), що призводять до модифікації (зміни), розкриття чи зруйнування
інформації, що є власністю держави, а також збір, обробка, збереження та аналіз
усіх виявлених фактів.
Необхідно зазначити, що відповідно до частини першої статті 17 Конституції
України захист інформаційної безпеки держави є однією з найважливіших функцій
держави.
З цією метою прийнято Закон України "Про Концепцію Національної програми
інформатизації", в якому визначається, що: "...головною метою програми є
забезпечення громадян та суспільства своєчасною, достовірною та повною
інформацією на основі широкого використання інформаційних технологій,
забезпечення інформаційної безпеки держави з використанням для цього традиційних
і нетрадиційних форм та методів контролю". Цим же законом надано визначення
інформаційної безпеки, як "невід’ємної частини національної безпеки, об'єктами
якої є інформаційні ресурси, канали інформаційного обміну і телекомунікацій,
механізми забезпечення функціонування телекомунікаційних систем і мереж та інші
елементи інформаційної інфраструктури країни".
На цей час правові відносини щодо захисту інформації в автоматизованих системах
регулюються Законом України "Про захист інформації в автоматизованих системах".
Зокрема у статті 11 цього Закону визначається: "...вимоги і правила захисту
інформації, яка є власністю держави, або інформації, захист якої гарантується
державою, встановлюються державним органом, уповноваженим Кабінетом Міністрів
України. Ці вимоги і правила є обов'язковими для власників автоматизованих
систем, де така інформація обробляється, і мають рекомендаційний характер для
інших суб"єктів права власності на інформацію".
Крім того, в статті 28 Закону України "Про інформацію" визначається, що держава
здійснює контроль за режимом доступу до інформації. Завдання контролю за режимом
доступу до інформації полягає у забезпеченні додержання вимог законодавства про
інформацію всіма державними органами, підприємствами, установами та
організаціями, у недопущенні необгрунтованого віднесення відомостей до категорії
інформації з обмеженим доступом.
Державний контроль за додержанням встановленого режиму здійснюється спеціальними
органами, які визначають Верховна Рада України та Кабінет Міністрів України.
Відповідно до частини четвертої статті 13 Конституції України, захист державою
своєї власності здійснюється шляхом покладання відповідних функцій на державний
орган (Службу безпеки України).
Зважаючи на викладене та згідно з Указом Президента України від 10.04.200 р.
№ 582 для забезпечення захисту інформації (при використанні мереж передачі
даних), що є об'єктом державної власності, до Порядку була введена вимога
стосовно системи моніторингу.
Необхідно зазначити, що моніторинг з метою контролю за забезпеченням безпеки
інформації здійснюється відповідно до чинних вимог технічного захисту інформації
НД ТЗІ 2.5-004-99, що були розроблені ДСТСЗІ СБ України згідно із загальними
критеріями захисту інформації в комп'ютерних системах ISO 15408.
Так, відповідно до п. 6.4 НД ТЗІ 2.5-004-99, контроль прихованих каналів
виконується з метою виявлення та усунення потоків інформації, які існують, але не
контролюються іншими послугами.
Відповідно до п. 6.5 НД ТЗІ 2.5-004-99 контроль виконується з метою виявлення
спроб несанкціонованого ознайомлення з інформацією під час її експорту/імпорту
через незахищене середовище.
Таким чином, норма пункту 3.1 Порядку складання та ведення переліку підприємств
(операторів), які надають послуги з доступу до глобальних мереж передачі даних
органам виконавчої влади, іншим державним органам, підприємствам, установам та
організаціям, які одержують, обробляють, поширюють і зберігають інформацію, що є
об'єктом державної власності та охороняються згідно із законодавством,
затвердженого наказом Держкомзв'язку України від 47 червня 2002 року № 122,
зареєстрованого в Міністерстві юстиції України 4 липня 2002 року за № 559/6847
щодо укомплектованості системи моніторингу для контролю за забезпеченням безпеки
інформації у мережах передачі даних, не суперечить Конституції України та
відповідає вимогам Закону України "Про захист інформації в автоматизованих
системах", а також нормам міжнародного та європейського законодавства.

З повагою,
Заступник Голови Служби                                             А. Герасимов