Голові Державного комітету з питань
регуляторної політики та підприємництва
пану Дашкевичу А.В.
_______________________________________
01011, Київ, вул. Арсенальна, 9/11
Шановний Андрію Вікторовичу!
Дякуємо Вам за відповідь на наш лист № 274 від 15.08.2005 р., щодо перегляду Наказу Державного комітету зв'язку та інформатизації від 17.06.02 № 122 відповідно до Указу Президента № 901/2005 від 01.06.2005 р. “Про деякі заходи щодо забезпечення здійснення державної регуляторної політики”. Але звертаємо Вашу увагу на суттєві невідповідності, допущені у відповіді на звернення, які викладені нашими фахівцями у доданому правовому коментарі.
У зв’язку з цим, Інтернет Асоціація України просить провести більш ретельний аналіз вищезгаданого Наказу, і забезпечити скасування органами юстиції рішення про державну реєстрацію даного регуляторного акту, як невідповідного принципам державної регуляторної політики.
Додаток – правовий коментар ( 3 арк.)
Виконавчий директор
Інтернет Асоціації України А.В. Мішуренко
Коментар
Інтернет Асоціація України звернулася в Державний комітет України з питань підприємництва та регуляторної політики (далі – Держкомпідприємництво) з метою проведення перевірки на відповідність принципам державної регуляторної політики Наказу Державного комітету зв'язку та інформатизації від 17.06.02 № 122 „Про затвердження Порядку складання та ведення переліку підприємств (операторів), які надають послуги доступу до глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям, які одержують, обробляють, поширюють та зберігають інформацію, що є об'єктами державної власності та охороняються згідно із законодавством" (далі - Наказ).
У відповідь було отримано лист Держкомпідприємництва за № 7993 від 14.09.2005 р., в якому визначалось, що “Наказ був виданий на підставі повноважень, закріплених в абзаці 2 пункту 3, підпунктах 3, 6, 15 пункту 4 Указу Президента України від 3 червня 1999 року № 601/99 „Про Положення про Державний комітет зв'язку та інформатизації", та відповідає вимогам постанови Кабінету Міністрів України від 12 квітня 2002 року № 522 „Про затвердження Порядку підключення до глобальних мереж передачі даних".
У той же час пунктом 7 вищезгаданого Положення встановлено, що Держкомзв'язку уповноважений видавати обов’язкові для виконання накази у сфері інформатизації, а саме - в галузі створення умов для задоволення інформаційних потреб громадян та суспільства на основі створення, розвитку і використання інформаційних систем (мереж, ресурсів та інформаційних технологій), які побудовані на основі застосування сучасної обчислювальної та комунікаційної техніки виключно:
- в межах своїх повноважень;
- на основі та на виконання актів законодавства.
Повноваження Державного комітету зв’язку та інформатизації України станом на 17.06.2002 року (дата затвердження Порядку складання переліку операторів) визначались статтею 5 Закону України “Про зв’язок”, відповідно до якого Держкомзв’язку виконував функції Адміністрації зв’язку України – центрального органу державної виконавчої влади у галузі зв’язку, підпорядкованого Кабінету Міністрів України. Стаття 5 Закону України “Про зв’язок” не наділяє Держкомзв’язку повноваженнями щодо запровадження способів і засобів захисту інформації в мережах передачі даних, регулювання діяльності операторів з питань забезпеченням безпеки інформації в мережах передачі даних чи здійснення контрольних повноважень щодо операторів у зазначеній сфері. Інші нормативні акти, які регулюють діяльність Держкомзв’язку та на які посилається Держком’язок як на підставу для прийняття положень, що містяться в абзаці 4 пункту 3.1 та абзаці 5 пункту 4.1 Порядку складання переліку операторів, також не надають останньому таких повноважень. Пунктом 2 постанови Кабінету Міністрів України від 12 квітня 2002 року № 522 “Про затвердження порядку підключення до глобальних мереж передачі даних” компетенція Держкомзв’язку щодо затвердження порядку складання та ведення переліку операторів чітко окреслена повноваженнями передбачити вимоги до:
- програмно-технічних засобів, які забезпечують доступ до глобальних мереж;
- якості окремих видів послуг з доступу до глобальних мереж;
- захисту інформації в мережах передачі даних.
Встановивши у пункті 3.1 Порядку складання переліку операторів вимоги щодо:
- відомостей про організаційно-технічні можливості операторів та використання
оператором засобів зв’язку, погоджених Адміністрацією зв’язку України
(абзаци 5, 6 пункту 3.1. Порядку);
- показників мінімальної якості послуг (абзац 2 пункту 3.1 Порядку);
- наявності комплексної системи захисту інформації (абзац 3 пункту 3.1 Порядку),
Держкомзв’язку вичерпав наведені вище повноваження.
Пунктом 3 Указу Президента України від 24 вересня 2001 року № 891/2001 “Про деякі
заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних” на
Держкомзв’язку покладено обов’язок визначити перелік операторів, здатних забезпечити суб’єктам, які використовують інформацію, що є об’єктом державної власності та охороняється відповідно із законом, передачу даних глобальними мережами, причому таке визначення повинно відбуватись у встановленому законодавством порядку. Пунктом 2 цього ж Указу затвердження порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах покладалось на Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України . Відповідний нормативний акт було прийнято ДСТСЗІ СБУ 24 грудня 2001 року, однак Держкомзв’язку вийшов за межі встановлених вимог до операторів щодо порядку захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, чим перевищив свої повноваження та порушив вимоги чинного законодавства.
Також у листі Держкомпідприємництво визначалось, що “вимоги щодо укомплектованості системою моніторингу для контролю за забезпеченням безпеки інформації у мережі передачі даних жодним чином не обмежують гарантованого Конституцією України та Законом України „Про телекомунікації"" права людини щодо охорони таємниці листування, телеграфної, телефонної та іншої кореспонденції. Така вимога має на меті лише забезпечення безпеки конфіденційних даних.”
Але дане твердження не відповідає дійсності, оскільки в Наказі присутнє порушення вимог законодавства, яке регулює охорону таємниці інформації, що передається засобами зв’язку, та безпеку телекомунікацій. Зокрема, статтею 27 Закону України “Про зв’язок”, який був чинним станом на 17.06.2002 року, здійснення контролю за технічними каналами зв’язку заборонялось, крім випадків, передбачених чинним законодавством. Статтею 9 Закону України “Про телекомунікації”, що набув чинності з 24.12.2003 року, зняття інформації з телекомунікаційних мереж заборонене, крім випадків, передбачених законом.
Як слідує з положень абзацу 4 пункту 3.1 та абзацу 5 пункту 4.1 Порядку складання переліку операторів, система моніторингу встановлюється для здійснення контролю за забезпеченням безпеки інформації. В той же час, необхідність контролю за забезпеченням безпеки інформації у мережах передачі даних жодним законодавчим актом України не визначена як випадок (підстава), що дозволяє здійснення контролю за технічними каналами зв’язку, та законами України як випадок (підстава), що дозволяє зняття інформації з телекомунікаційних мереж.
Отже, положення абзацу 4 пункту 3.1 та абзацу 5 пункту 4.1 Порядку складання переліку операторів, яким для операторів, що бажають надавати послуги з доступу до глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, а також підприємствам, установам та організаціям, які одержують, обробляють, поширюють і зберігають інформацію, що є об’єктом державної власності та охороняється згідно з законодавством, встановлюється вимога укомплектованості системою моніторингу для контролю за забезпеченням безпеки інформації у мережах передачі даних, порушує статтю 27 Закону України “Про зв’язок” (втратив чинність з 24.12.2003 року) та статтю 9 Закону України “Про телекомунікації” (набув чинності з 24.12.2003 року).
Крім того, Держкомпідприємництво зазначає, що “нормативний акт № 4-1-43/788 „Моніторинг-центри для телефонної мережі загального користування (ТфЗК) України", затверджений Міністерством зв'язку України та СБ України 13 грудня 1996 року, не проходив реєстрації у Міністерстві юстиції України, оскільки відповідно до підпункту е) пункту 5 постанови Кабінету Міністрів України від 28 грудня 1992 року № 731 № „Про затвердження Положення про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади" на державну реєстрацію не подаються акти нормативно-технічного характеру, до якого відноситься цей акт.”
В той же час зазначений документ має міжвідомчий характер та відповідно до пункту 3 Указу Президента України “Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади” не набув чинності, а отже і вимоги, які висуваються до обладнання з моніторингу на підставі абзацу 5 пункту 4.1 Порядку складання переліку операторів, не можуть вважатись обов’язковими для операторів.
Проаналізувавши лист, вважаємо, що відповідь, яку надало Держкомпідприємництво, не відповідає суті поставлених запитань, а також, виходячи із змісту листа, даний державний орган не провів ґрунтовного правового аналізу даного нормативно-правового акту, а також не провів перевірки відповідності даного документа принципам державної регуляторної політики, яка вимагалась від нього Указом Президента № 901/2005 від 01.06.2005 р. “Про деякі заходи щодо забезпечення здійснення державної регуляторної політики”.