Держспецзв'язку повідомила ІнАУ свою позицію щодо врегулювання підключення до Інтернету державних органів

Отримано листа від ДССЗЗІ: Лист № 264 від Держспецзв'язку 22.11.2018 щодо надання роз'яснень стосовно проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522».

Це відповідь на лист ІнАУ № 124 від 14.08.2018 щодо проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», яким ми надавали зауваження до попереднього проекту змін щодо врегулювання підключення до Інтернету інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, підприємств, установ та організацій.

У відповіді ДССЗІ зазначає, що зауваження ІнАУ частково враховані, і наводить обґрунтування врахування/неврахування по кожній з пропозицій ІнАУ.

Кілька днів тому ДССЗЗІ оприлюднила для обговорення новий проект Постанови КМУ, який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»: Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет».

Історія питання така:

• 30.08.2017. Президент видав Указ №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації» у підпункті б) пункту 5 частини 1 Рішення Ради національної безпеки і оборони України від 10 липня 2017 року передбачає врегулювання Кабміном у тримісячний строк питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.

• 07.09.2017. ІнАУ направила запит: Лист № 152 від 07.09.2017 Прем'єр-міністру України щодо Указу Президента №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким ІнАУ надавала ряд коментарів та просила не припустити порушення законодавства та обмеження прав громадян і суб’єктів господарювання при здійсненні заходів щодо Указу Президента України №254/2017, згідно з яким КМУ в тримісячний строк має врегулювати питання щодо заборони державним органам і підприємствам закуповувати послуги з доступу до Інтернету у операторів/провайдерів телекомунікацій, котрі не мають КСЗІ (комплексної системи захисту інформації).

• 12.10.2017. ДССЗЗІ опублікувала Перелік операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають на жовтень місяць 2017 року діючі атестати відповідності системи захисту ЗВІД.

• 19.10.2017. ІнАУ отримала формальну відповідь з ДССЗЗІ: Лист № 224 від ДССЗЗІ 19.10.2017 щодо розгляду звернення стосовно Указу Президента №254/2017 про рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де Адміністрація ДССЗЗІ зазначає, що зараз триває розробка проекту відповідного документу, і згодом його оприлюднять для обговорення.

• 22.11.2017. ІнАУ отримала запит від члена ИнАУ: Лист № 241 від ТОВ «ІНТЕР-ТЕЛЕКОМ» 22.11.2017 щодо надання роз'яснень стосовно Указу Президента України № 254/2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де член ИнАУ просить дати відповідь на 2 питання: чи потрібна оператору, який надає послуги держорганам, КСЗІ та чи зверталась ІнАУ до держорганів за поясненнями.

• 24.11.2017. ІнАУ надала відповідь члену ІнАУ на його запит: Лист № 190 від 24.11.2017 ТОВ «ІНТЕР-ТЕЛЕКОМ» щодо розгляду звернення про надання інформації стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації».

• 30.11.2017. ІнАУ направила повторний лист-запит в ДССЗЗІ: Лист № 192 від 30.11.2017 Голові ДССЗЗІ щодо запиту про надання роз'яснень стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким просила надати інформацію про проект нормативно-правового акту щодо заборони державним органам укладати договори з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації відповідно до Указу Президента №254/2017. ІнАУ намагається з’ясувати питання для однозначного розуміння стану впровадження підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 (див Указ Президента №254/2017), а саме:
• На якому етапі знаходиться та в який найближчий час заплановано оприлюднення для громадського обговорення проекту нормативно-правового акту, розробленого на виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 та про що повідомлено у листі від 18.10.2017 № 04/02/01-2550?
• У разі виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 у інший спосіб (тобто не шляхом прийняття нормативно-правового акту), де і на якому ресурсі можна ознайомитись з такими рішеннями Кабінету Міністрів України чи рішеннями інших органів державної влади, розробленими на виконання вимог Рішення РНБО від 10.07.2017?
• Положення відповідного нормативно-правового акту, яким надано право складання, ведення та оприлюднення Держспецзв’язку Переліку операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають діючі атестати відповідності системи захисту ЗВІД?

• 10.01.2018. Отримано відповідь від ДССЗІ: Лист № 06 від ДССЗЗІ 10.01.2018 щодо розгляду звернення стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації». У відповіді ДССЗЗІ зазначає, що цей проект перебуває в розробці і буде оприлюднено для обговорення в разі рішення ДРС щодо регуляторного статусу цього документу.

• 08.08.2018. ДССЗЗІ оприлюднила Проект постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», який врегульовує питання підключення державних органів, підприємств, установ і організацій державної форми власності до мережі Інтернет та закупівлю послуг у операторів (провайдерів) телекомунікацій.

• 14.08.2018. ІнАУ направила зауваження до проекту змін до Постанови КМУ №522: Лист ІнАУ №124 від 14.08.2018 щодо проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», яким ми надавали зауваження до попереднього проекту змін щодо врегулювання підключення до Інтернету інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, підприємств, установ та організацій.

• 16.11.2018. ДССЗЗІ оприлюднила для обговорення новий Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»:

• 22.11. 2018 Отримана відповідь ДССЗЗІ на зауваження ІнАУ: Лист № 264 від Держспецзв'язку 22.11.2018 щодо надання роз'яснень стосовно проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522».