ІнАУ направила листи до ДССЗЗІ та Мінекономрозвитку з зауваженнями до проектів документів, які стосуються умов підключення до мережі Інтернет державних органів та організацій державної форми власності:
- Лист № 05 від 22.01.2019 Голові Держспецзв'язку щодо надання зауважень до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет»
- Лист № 06 від 22.01.2019 Мінекономрозвитку щодо не підтримання проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури».
В цих листах ІнАУ наполягає на необхідності врахування своїх зауважень щодо усунення необгрунтованих вимог до провайдерів, які обслуговують державні організації, і просить відмовити у погодженні проекту постанови КМУ у запропонованій редакції.
Ці листи є відповіддю ІнАУ на листи від ДССЗЗІ, які в свою чергу є відповіддю на попередні зауваження ІнАУ щодо цих проектів 2-х постанов КМУ
- Лист № 07 від Держспецзв'язку 09.01.2019 щодо розгляду зауважень до проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»
- Лист № 08 від Держспецзв'язку 09.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет»
В них Держспецзв’язку заявляла, що документи не дискримінує операторів за ознакою відсутності у них захищеного вузла доступу до Інтернету, і що наявність такого вузла дає операторам конкурентну перевагу. При цьому за наданими в листі ДССЗЗІ оцінками, вартість комплексу у мінімальній комплектації для створення захищеного вузла доступу становить 300-400 тис грн., також треба врахувати витрати на створення КСЗІ з підтвердженням відповідності – це 10-15% вартості системи.
Раніше ІнАУ отримала лист від АМКУ: Лист № 06 від АМКУ 04.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», в якому АМКУ фактично поділив стурбованість ІнАУ і повідомив, що він направив до Держспецзв’язку листа про те, що проект постанови у разі його прийняття може мати негативні наслідки для конкуренції.
Вся історія цього питання така:
- 30.08.2017. Президент видав Указ №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації» у підпункті б) пункту 5 частини 1 Рішення Ради національної безпеки і оборони України від 10 липня 2017 року передбачає врегулювання Кабміном у тримісячний строк питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
- 07.09.2017. ІнАУ направила запит: Лист № 152 від 07.09.2017 Прем'єр-міністру України щодо Указу Президента №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким ІнАУ надавала ряд коментарів та просила не припустити порушення законодавства та обмеження прав громадян і суб’єктів господарювання при здійсненні заходів щодо Указу Президента України №254/2017, згідно з яким КМУ в тримісячний строк має врегулювати питання щодо заборони державним органам і підприємствам закуповувати послуги з доступу до Інтернету у операторів/провайдерів телекомунікацій, котрі не мають КСЗІ (комплексної системи захисту інформації).
- 12.10.2017. ДССЗЗІ опублікувала Перелік операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають на жовтень місяць 2017 року діючі атестати відповідності системи захисту ЗВІД.
- 19.10.2017. ІнАУ отримала формальну відповідь з ДССЗЗІ: Лист № 224 від ДССЗЗІ 19.10.2017 щодо розгляду звернення стосовно Указу Президента №254/2017 про рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де Адміністрація ДССЗЗІ зазначає, що зараз триває розробка проекту відповідного документу, і згодом його оприлюднять для обговорення.
- 22.11.2017. ІнАУ отримала запит від члена ИнАУ: Лист № 241 від ТОВ «ІНТЕР-ТЕЛЕКОМ» 22.11.2017 щодо надання роз'яснень стосовно Указу Президента України № 254/2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де член ИнАУ просить дати відповідь на 2 питання: чи потрібна оператору, який надає послуги держорганам, КСЗІ та чи зверталась ІнАУ до держорганів за поясненнями.
- 24.11.2017. ІнАУ надала відповідь члену ІнАУ на його запит: Лист № 190 від 24.11.2017 ТОВ «ІНТЕР-ТЕЛЕКОМ» щодо розгляду звернення про надання інформації стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації».
- 30.11.2017. ІнАУ направила повторний лист-запит в ДССЗЗІ: Лист № 192 від 30.11.2017 Голові ДССЗЗІ щодо запиту про надання роз'яснень стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким просила надати інформацію про проект нормативно-правового акту щодо заборони державним органам укладати договори з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації відповідно до Указу Президента №254/2017. ІнАУ намагається з’ясувати питання для однозначного розуміння стану впровадження підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 (див Указ Президента №254/2017), а саме:
- На якому етапі знаходиться та в який найближчий час заплановано оприлюднення для громадського обговорення проекту нормативно-правового акту, розробленого на виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 та про що повідомлено у листі від 18.10.2017 № 04/02/01-2550?
- У разі виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 у інший спосіб (тобто не шляхом прийняття нормативно-правового акту), де і на якому ресурсі можна ознайомитись з такими рішеннями Кабінету Міністрів України чи рішеннями інших органів державної влади, розробленими на виконання вимог Рішення РНБО від 10.07.2017?
- Положення відповідного нормативно-правового акту, яким надано право складання, ведення та оприлюднення Держспецзв’язку Переліку операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають діючі атестати відповідності системи захисту ЗВІД?
- 10.01.2018. Отримано відповідь від ДССЗІ: Лист № 06 від ДССЗЗІ 10.01.2018 щодо розгляду звернення стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації». У відповіді ДССЗЗІ зазначає, що цей проект перебуває в розробці і буде оприлюднено для обговорення в разі рішення ДРС щодо регуляторного статусу цього документу.
- 14.08.2018. ІнАУ направила зауваження до проекту змін до Постанови КМУ №522: Лист ІнАУ №124 від 14.08.2018 щодо проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», яким ми надавали зауваження до попереднього проекту змін щодо врегулювання підключення до Інтернету інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, підприємств, установ та організацій.
- 16.11.2018. ДССЗЗІ оприлюднила для обговорення новий Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»:
- 22.11. 2018 Отримана відповідь ДССЗЗІ: Лист № 264 від Держспецзв'язку 22.11.2018 щодо надання роз'яснень стосовно проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522». У відповіді ДССЗІ зазначає, що зауваження ІнАУ частково враховані, і наводить обґрунтування врахування/неврахування по кожній з пропозицій ІнАУ.
- ДССЗЗІ оприлюднила для обговорення новий проект Постанови КМУ, який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»: Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет».
- 07.12.2018. ІнАУ направила зауваження до цього проекту ДССЗЗІ: Лист № 216 від 07.12.2018 Голові Держспецзв'язку щодо надання пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», яким ми надавало відповідні зауваження, а також направити проект постанови на погодження до АМКУ.
- 04.01.2019. ІнАУ отримала відповідь від АМКУ на лист №216 від 07.12.2018 щодо проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет»: Лист № 06 від АМКУ 04.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет». АМКУ у своєму листі повідомив ІнАУ, що він направив до Держспецзв’язку листа про те, що проект постанови у разі його прийняття може мати негативні наслідки для конкуренції. Таким чином, АМКУ підтримав позицію ІнАУ щодо проекту постанови.
- 09.01.2019. ІнАУ отримала два листа від ДССЗЗІ, в яких надані відповіді на пропозиції ІнАУ щодо проектів документів: Лист № 07 від Держспецзв'язку 09.01.2019 щодо розгляду зауважень до проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» та Лист № 08 від Держспецзв'язку 09.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет» Це відповідь на звернення ІнАУ: Лист № 216 від 07.12.2018 Голові Держспецзв'язку щодо надання пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», яким ми надавало відповідні зауваження, а також направити проект постанови на погодження до АМКУ. У відповідях Держспецзв’язку заявляє, що проект документу не дискримінує операторів за ознакою відсутності у них захищеного вузла доступу до Інтернету, і що наявність такого вузла дає операторам конкурентну перевагу. При цьому за наданими в листі ДССЗЗІ оцінками, вартість комплексу у мінімальній комплектації для створення захищеного вузла доступу становить 300-400 тис грн., також треба врахувати витрати на створення КСЗІ з підтвердженням відповідності – це 10-15% вартості системи.