Голові Адміністрації Державної служби спеціального зв’язку
та захисту інформації України
Євдоченку Л.О.
вул. Солом’янська, 13, м. Київ, 03110
Копія:
Національна комісія, що здійснює державне
регулювання сфері зв’язку та інформатизації
вул. Хрещатик, 22, м. Київ, 01001
Державна регуляторна служба України
вул. Арсенальна, 9/11, м. Київ, 01011
Антимонопольний комітет України
вул. Митрополита Василя Липківського, 45, м. Київ, 03035
Вих. № 216
від 07 грудня 2018 року
Щодо проекту постанови Кабінету
Міністрів України «Про затвердження
Порядку доступу до мережі Інтернет»
Шановний Леоніде Олександровичу!
Інтернет Асоціація України (далі – ІнАУ) засвідчує Вам свою повагу та звертається з приводу наступного.
16 листопада 2018 року на офіційному веб-сайті Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі – Адміністрація ДССЗЗІ) www.dsszzi.gov.ua у підрозділі «Повідомлення про оприлюднення та проекти» розділу «Регуляторна діяльність» оприлюднено проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет», розроблений на виконання завдання, визначеного підпунктом 5б) пункту 1 Рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання Рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254 (далі – Рішення РНБО № 32), а також відповідно до Плану організації виконання означеного Указу Президента України, схваленому на засіданні Кабінету Міністрів України 13 вересня 2017 року (протокол № 53) (далі – проект постанови).
Документом пропонується врегулювати питання підключення до мережі Інтернет та забезпечення захисту інформації та кіберзахисту інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, підприємств, установ та організацій під час підключення до мережі Інтернет.
ІнАУ, уважно ознайомившись зі змістом проекту постанови, у встановлений термін надає зауваження та пропозиції з метою їх врахування.
1. Повноваження Кабінету Міністрів України регламентовані статтею 116 Конституції України.
Відповідно до статті 14 Закону України «Про телекомунікації» Кабінет Міністрів України має такі повноваження у сфері телекомунікацій:
1) забезпечує проведення державної політики у сфері телекомунікацій;
2) забезпечує рівні умови розвитку всіх форм власності у сфері телекомунікацій;
3) здійснює управління об’єктами державної власності у сфері телекомунікацій;
4) спрямовує і координує діяльність міністерств, інших центральних органів виконавчої влади у сфері телекомунікацій.
А, статтею 20 Закону України «Про захист прав споживачів» визначено, що Кабінет Міністрів України затверджує правила торговельного, побутового та інших видів обслуговування (виконання робіт, надання послуг).
Отже, з аналізу названих законодавчих положень, можна зробити висновок, що Кабінет Міністрів України не має повноважень затверджувати документ та встановлювати Порядок доступу до мережі Інтернет з поширенням його дії на операторів, провайдерів телекомунікацій, які надають послуги доступу до Інтернету та встановлювати додаткові обов’язки у веденні господарської діяльності.
Адже, проектом постанови фактично пропонується, що для надання послуги доступу до мережі Інтернет, відповідно до пункту 4 проекту Порядку доступу до мережі Інтернет, оператор, провайдер телекомунікацій повинен мати відповідні документи (див. далі по тексту).
2. Пунктом 4 проекту Порядку доступу до мережі Інтернет пропонується, що вказана у ньому категорія абонентів, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, мають отримувати доступ до мережі Інтернет через:
1) Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку або
2) через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, або
3) через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або
4) через операторів, провайдерів телекомунікацій, які мають дійсний документ, що підтверджує відповідність системи управління інформаційною безпекою, що застосовується при обробці інформації в захищеному вузлі доступу, вимогам стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), виданого національним чи іноземним органом з оцінки відповідності, акредитованим національним органом України з акредитації чи іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001).
Проте, запропоновані розробником новації не відповідають нормам та положенням Конституції України, законодавства України та ЄС, зокрема:
- Закону України «Про телекомунікації»;
- Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»;
- Правилам здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет);
- Правилам надання та отримання телекомунікаційних послуг;
- Положенню про державну експертизу в сфері технічного захисту інформації;
- Директивам ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, які визначені Угодою про асоціацію.
Положення у названих законодавчих та нормативно-правових актах у сфері телекомунікацій не встановлюють запропонованого проектом постанови додаткового регулювання діяльності операторів, провайдерів телекомунікацій. А, оператори, провайдери телекомунікацій не є суб’єктами, та їх обладнання не є об’єктами державної експертизи.
На нашу думку, вищезазначені новації матимуть наслідком обмеження права окремих операторів, провайдерів телекомунікацій надавати послуги доступу до Інтернет органам державної влади.
За інформацією НКРЗІ станом на 31.12.2017 до Реєстру операторів, провайдерів телекомунікацій було включено 4873 суб’єктів підприємницької діяльності. При цьому, за інформацією Держспецзв’язку, на сьогодні, лише 17 операторів, провайдерів телекомунікацій мають атестати відповідності, близько 40 – проходять державну експертизу у сфері ТЗІ.
Крім того, враховуючи значні фінансові витрати на проведення заходів щодо створення захищеного вузла та проведення відповідної експертизи на один об’єкт, то далеко не кожен має в наявності такі фінансові ресурси, а, відтак, буде усунений з сегменту надання послуги доступу до мережі Інтернет органам державної влади.
При цьому, про відшкодування (компенсацію) збитків за рахунок держави, що можуть бути завдані новаціями операторам, провайдерам телекомунікацій, взагалі не згадується у проекті постанови.
Діяльність операторів, провайдерів телекомунікацій, які надають послуги доступу до Інтернету регулюється законодавством у сфері телекомунікацій, в т.ч. Правилами здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), затвердженими рішенням НКРЗІ від 10.12.2013 № 803 та зареєстрованим в Міністерстві юстиції України 03.02.2014 за № 207/24984. Ці Правила містять перелік організаційних, кваліфікаційних, технологічних вимог, обов’язкових для виконання при здійсненні діяльності у сфері телекомунікацій з надання послуг доступу до Інтернету та якими не встановлено для операторів, провайдерів телекомунікацій обов’язок, у разі надання послуг органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, отримувати в ДССЗЗІ атестати відповідності системи захисту.
Аналіз регуляторного впливу до проекту постанови не містить інформації про те, які витрати понесуть оператори, провайдери телекомунікацій, що пов’язані з отриманням документів про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
Також, у Аналізі регуляторного впливу до проекту постанови відсутня інформація про можливість нанесення збитків операторам, провайдерам телекомунікацій у разі припинення діючих договорів на надання послуг доступу до Інтернету.
Таким чином, вважаємо, що Адміністрацією ДССЗЗІ при розробленні проекту постанови не надано належної оцінки впливу цієї постанови на сферу законних прав та інтересів операторів, провайдерів телекомунікацій, які здійснюють діяльність на ринку послуг доступу до Інтернету.
3. Пунктами 3 та 4 Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93, зареєстрованого в Міністерстві юстиції України 16.07.2007 за № 820/14087 (далі – Положення), визначено, що його дія поширюється на всіх юридичних та фізичних осіб, які є суб’єктами експертизи. Суб’єктами експертизи визначено, зокрема, юридичні та фізичні особи-власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ - замовники експертизи. Об’єктами експертизи є: комплексні системи захисту інформації, які є невід’ємною складовою частиною інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи; технічні та програмні засоби, які реалізують функції ТЗІ; організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження.
Отже, при виконанні завдання, направленого на виконання указів Президента України щодо врегулювання питання підключення державних органів, підприємств, установ і організацій державної форми власності до мережі Інтернет та закупівлю послуг у операторів, провайдерів телекомунікацій, необхідно врахувати, що відповідно до Положення, телекомунікаційні мережі, у розумінні визначення, наданого у статті 1 Закону України «Про телекомунікації», з використанням яких оператори, провайдери телекомунікацій надають послуги доступу до Інтернету, не є об’єктами експертизи, а, відповідно, оператори, провайдери, які надають послуги доступу до мережі Інтернет, не є суб’єктами експертизи.
Крім цього, ми не погоджуємось із тлумаченням ДССЗЗІ термінів «телекомунікаційна мережа» та «телекомунікаційні системи», які, на думку ДССЗЗІ, співпадають, про що зазначено у листі ДССЗЗІ від 13.11.2018 № 05/02-3547 до ІнАУ, адже, «телекомунікаційна система» це «сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень в інший спосіб». А, «телекомунікаційна мережа» це комплекс лише технічних засобів телекомунікацій та споруд, призначених для маршрутизації, комутації, передавання та/або приймання знаків, сигналів, письмового тексту, зображень та звуків або повідомлень будь-якого роду по радіо, проводових, оптичних чи інших електромагнітних системах між кінцевим обладнанням. Відтак, телекомунікаційна мережа є складовою телекомунікаційної системи.
Постанова, у разі її прийняття, може мати негативний вплив на конкуренцію на ринку послуг доступу до Інтернету, оскільки, впровадження нових вимог до операторів, провайдерів телекомунікацій при наданні цих послуг абонентам державного сектору, може призвести до монополізації ринку.
Зокрема, в Аналізі регуляторного впливу до проекту постанови зазначено, що під дію регулювання підпадуть більше ніж 3 тис. великих та середніх суб’єктів господарювання. У зв’язку з виконанням вимог акта можуть виникнути додаткові витрати на впровадження системи захисту інформації з підтвердженою відповідністю. А, органи виконавчої влади, інші державні органи, підприємства, установи та організації державної форми власності повинні будуть укласти нові договори з доступу до мережі Інтернет з тими операторами (провайдерами) телекомунікацій, у яких є документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
Тобто, у Аналізі регуляторного впливу до проекту постанови розробник не заперечує факту впливу постанови, у разі її прийняття, на можливість перерозподілу ринку доступу до мережі Інтернет та можливість його монополізації окремими суб’єктами господарювання, які отримають атестати відповідності системи захисту. Отже, на нашу думку, проект постанови відповідно до статті 20 Закону України «Про Антимонопольний комітет України» необхідно направити на погодження до Антимонопольного комітету України. Тим більше, що чинним Порядком підключення до глобальних мереж передачі даних, затвердженим постановою Кабінету Міністрів України від 12.04.2002 № 522 Антимонопольний комітет України залучено до виконання окремих функцій складання та ведення переліку підприємств (операторів), які надають послуги з доступу до глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям.
4. У пункті 2 проекту Порядку доступу до мережі Інтернет пропонується надати визначення ряду термінів, які вживатимуться у цьому документі, у разі його прийняття. Зокрема, пропонується визначити, що «абоненти мережі Інтернет» це «органи виконавчої влади, інші державні органи (окрім закордонних дипломатичних установ України), підприємства, установи та організації державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси та інформаційно-телекомунікаційні системи яких підключені до мережі Інтернет». Проте, за визначенням, наведеним у статті 1 Закону України «Про телекомунікації», «абонент» це «споживач телекомунікаційних послуг, який отримує телекомунікаційні послуги на умовах договору, котрий передбачає підключення кінцевого обладнання, що перебуває в його власності або користуванні, до телекомунікаційної мережі»
Відтак, визначення терміну «абоненти мережі Інтернет (абоненти)», запропонованого у п.2 проекту Порядку доступу до мережі Інтернет, необхідно привести у відповідність до визначення терміну «абонент», даного у статті 1 Закону України «Про телекомунікації».
Підсумовуючи наведене, повністю підтримуючи наміри органів влади розробити та впровадити нормативно-правовий акт, направлений на реальний захист державних інформаційних ресурсів у мережі Інтернет, вважаємо, що даний проект постанови протирічить окремим законодавчим актам України та, як наслідок, може призвести до ущемлення законних прав та інтересів операторів, провайдерів телекомунікацій, усунення окремих операторів, провайдерів телекомунікацій з ринку надання послуги доступу до Інтернету.
Враховуючи наведене, пропонуємо:
1) Адміністрації Держспецзв’язку доопрацювати проект постанови із урахуванням наданих ІнАУ зауважень та пропозицій. Зокрема, із п. 4 проекту Порядку доступу до мережі Інтернет виключити частину речення, а саме: «або через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю», оскільки, цим, фактично пропонується встановити додаткове зобов’язання для операторів, провайдерів телекомунікацій, що, відповідно, є перевищенням Кабінетом Міністрів України своїх повноважень, визначених статтею 116 Конституції України та законодавчими актами у сфері телекомунікацій, доопрацювати термін «абоненти мережі Інтернет (абоненти)», а також направити проект постанови на погодження до Антимонопольного комітету України;
2) заінтересованим органам державної влади відмовити у погодженні проекту постанови у запропонованій редакції.
З повагою
Голова Правління Інтернет Асоціації України О.Федієнко