Ответ НТУ СБУ на письмо ИнАУ относительно Приказа 122

Отримувач
ІнАУ, Інтернет Асоціація України

СЛУЖБА БЕЗПЕКИ УКРАЇНИ
Науково-технічне управління

Директору Інтернет Асоціації України
пані Мішуренко А.В. 

                                Шановна Альоно Василівно!

Службою безпеки України уважно розглянуто Ваше звернення щодо скасування наказу
Державного комітету зв'язку та інформатизації України від 17.06.2002р. № 122,
зареєстрованого в Міністерстві юстиції України 4.07.2002р. за № 559/6847.

Цей наказ затверджує „Порядок складання та ведення переліку (підприємств) операторів, які
надають послуги з доступу до глобальних мереж передачі даних органам виконавчої влади,
іншим державним органам, підприємствам, установам та організаціям, які одержують,
обробляють, поширюють і зберігають інформацію, що є об'єктом державної власності та
охороняється згідно із законодавством" (надалі - Наказ).

У Вашому листі стверджується, що Наказ (пп. 3.1, 4.1) „вимагає” від операторів
укомплектування обладнання їх мереж передачі даних системою моніторингу для контролю за
забезпеченням безпеки інформації і це не відповідає вимогам чинного законодавства.

Ваше твердження не є слушним тому, що ця вимога не є обов'язковою нормою, а стосується
лише операторів, які на добровільній основі бажають надавати послуги з доступу до
глобальних мереж передачі даних органам виконавчої влади, іншим державним органам,
підприємствам, установам та організаціям, які одержують, обробляють, поширюють і
зберігають інформацію, що є об'єктом державної власності, у тому числі і таємну.

У той же час стосовно відповідності положень Наказу вимогам законодавства вважаємо
доцільним зазначити наступне.

Згідно зі ст. 7 Закону України „Про захист інформації в автоматизованих
системах”: "...якщо інформація є власністю держави або належить до державної таємниці чи
окремих видів інформації, захист яких гарантується державою, то власник АС повинен
забезпечити захист інформації згідно з вимогами і правилами, що їх визначає уповноважений
Президентом України орган". Крім того, згідно зі ст. 30 Закону України "Про інформацію"
порядок обігу саме таємної інформації та її захисту визначається відповідними державними
органами.

Відповідно до частини 5 статті 5 Закону України "Про державну таємницю" спеціально
уповноваженим органом державної влади у сфері забезпечення охорони державної таємниці є
Служба безпеки України, обов'язки якої у цій сфері визначені пунктом 7 статті 24 Закону
України "Про Службу безпеки України".

Згідно з частиною 1 статті 1 Закону України "Про державну таємницю" охорона державної
таємниці є комплексом організаційно-правових, інженерно-технічних, криптографічних та
оперативно-розшукових заходів, спрямованих на запобігання розголошенню секретної
інформації та втратам її матеріальних носіїв. Одним із заходів захисту інформації, що є
об'єктом державної власності і віднесена до інформації з обмеженим доступом, є інженерно-
технічні засоби для забезпечення, згідно зі ст. 14 Закону України "Про захист інформації
в автоматизованих системах" та ст. 28 Закону України "Про інформацію", контролю
захищеності оброблюваної в АС інформації, яка є власністю держави, та контролю за режимом
доступу до цієї інформації.

Відповідно до норм чинного законодавства Службою безпеки України були визначені
обґрунтовані вимоги щодо моніторингу для здійснення контролю за забезпеченням безпеки
інформації з обмеженим доступом.

Система моніторингу безпеки інформації є технічним засобом спостереження за станом
захищеності інформації з обмеженим доступом від несанкціонованих дій (випадкових чи
навмисних), що призводять до модифікації, розкриття чи зруйнування даних, що є власністю
держави. Моніторинг безпеки інформації здійснюється відповідно до чинних технічних вимог
захисту інформації НД ТЗІ 2.5-004-99, що були розроблені ДСТСЗІ СБ України згідно із
загальними критеріями захисту інформації в комп'ютерних системах 180 15 408, що прийняті
у країнах Європи. Так, відповідно до п. 6.4 НД ТЗІ 2.5-004-99 контроль безпеки інформації
здійснюється з метою виявлення прихованих каналів інформації, які існують, але не
контролюються іншими послугами, а також з метою виявлення спроб несанкціонованого
ознайомлення з інформацією під час її експорту/імпорту через незахищене середовище.

З огляду на вищесказане вважаємо, що моніторинг для контролю за забезпеченням безпеки
інформації у мережах передачі даних є однією зі складових комплексної системи захисту
інформації, здійснюється відповідно до вимог чинного законодавства України та до основних
положень законодавства Європейського Союзу у цій сфері.

Тобто, Державний комітет зв'язку та інформатизації України, прийнявши Наказ від
17.06.2002р. № 122, не перевищив своїх повноважень, а діяв відповідно до вимог закону.

Беручи до уваги вищезгадане, можна визначити, що відсутні правові засади, які б
обумовлювали будь-які дії щодо внесення змін до наказу Державного комітету зв'язку та
інформатизації України від 17.06.2002р. №122.


З повагою
ТВО начальника Управління                                       В. Серьогін