Первому заместителю Председателя
Государственного Комитета связи
и информатизации Украины
Господину Нетудыхате Л. И.
Исх. № 180
От 30.07.2003 г.
Уважаемый Леонид Иванович!
17.06.2002 года Государственным комитетом связи и информатизации Украины был
издан приказ № 122 "Об утверждении Порядка составления и ведения перечня
предприятий (операторов), которые предоставляют услуги по доступу к глобальным
сетям передачи данных органам исполнительной власти, другим государственным
органам, предприятиям, учреждения и организациям, которые получают, обрабатывают,
распространяют и сохраняют информацию, которая являеться объектом государственной
собственности и охраняеться согласно с законодательством" (далее - Приказ).
Данный Приказ накладывает весьма спорные требования на организационную структуру,
техническую схему и политику предоставления услуг компанией Интернет-провайдером,
а именно:
- требуется построение централизованной комплексной системы защиты информации
(КСЗИ), что является экономически невыгодным в случае предоставления услуг
доступа к сети Интернет организациям по всей территории Украины;
- требуется организация возможности мониторинга трафика, проходящего по каналам
Интернет-провайдера независимо от того, является ли передаваемая информация
собственностью Государства или нет, что дает возможность несанкционированного
перехвата конфиденциальной коммерческой информации компании Интернет-провайдера,
чем нарушаються требования ст. 27, 30 Закона Украины "О предпрятиях в Украине",
ст. 15 Закона Украины "О предпринимательстве" и других нормативно-правовых актов
Украины.
- кроме того, организации, которые на сегоднешний день включены в перечень
предприятий согласно требованиям Приказа, на текущий момент времени не работают
на всей территории Украины, что автоматически лишает возможности получать услуги
по доступу к сети Интернет тем организациям, работающим с информацией, являющейся
собственностью государства, которые расположены в населенных пунктах, где нет
технических центров вышеуказанных Интернет-провайдеров.
В то же время, для выполнения необходимых условий защиты информации в
государственных организациях, достаточным будет построение КСЗИ на предприятии с
организацией доступа к сети Интернет через мощности любого Интернет-провайдера.
Такой объем работ может быть выполнен любым предприятием-лицензиатом ДСТСЗИ,
имеющим право на проведение работ по защите информации, являющейся собственностью
государства, согласно п. 3.3 Приказа ДСТСЗИ № 89/67 от 29.12.2000 года "Об
утвердженияя Лицензионных условий осуществления хозяйственной деятельности,
связанной с разработкой, производством, введением, обслуживанием, исследованием
эффективности систем и средств технической защиты информации, предоставлением
услуг в области технической защиты информации" и п. 3.8 Приказа ДСТСЗИ № 88/66 от
29.12.2000 года "Об утверджении Лицензионных условий осуществления хозяйственной
деятельности по разработке, производству, исспользованию, эксплуатации,
сертификационному испытанию, тематическому исследованию, експертизе, ввезению,
вывозу криптосистем и средств криптографической защиты информации, предоставлению
услуг в области криптографической защиты информации, торговли криптосистемами и
средствами криптографической защиты информации". В этом случае ответственность за
КСЗИ несет лицензиат ДСТСЗИ СБУ, построивший эту систему (т.е. выполнивший
работы, которые он имеет право выполнять согласно лицензии).
Руководствуясь вышеизложенным, а также интересами абсолютного большинства
участников рынка Интернет, общества и требованиями действующего законодательства
Украины, просим внести соответствующие изменения в рассматриваемый Приказ, что
позволит снять ограничение на подключение государственных организаций к сети
Интернет на всей территории Украины при лучшей степени защиты информации,
являющейся собственностью Государства.
Директор ИнАУ А. Мишуренко