Незважаючи на численні аргументи щодо незаконності заборони державним органам і підприємствам закуповувати послуги з доступу до Інтернету у операторів/провайдерів телекомунікацій, котрі не мають комплексної системи захисту інформації (історія питання – нижче), а також незважаючи на відсутність на сьогодні постанови КМУ з даного питання та жодних інших законних підстав, ДССЗЗІ в березні цього року направила до керівників центральних та місцевих органів виконавчої влади листи щодо укладення договорів з доступу до Інтернету з операторами/провайдерами телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації. Також додатком до цих листів ДССЗЗІ направила Перелік операторів (провайдерів) телекомунікацій, що надають послуги з доступу до мережі Інтернет та мають чинні атестати відповідності системи захисту захищених вузлів Інтернет доступу.
ІнАУ звертається до Прем’єр-міністра з інформацією про незаконність таких дій Держспецзв’яку, які фактично вводять в оману державні і недержавні організації, див: Лист № 102 Прем'єр-міністру України 26.04.2019 щодо відкликання ДССЗЗІ листів про укладення договорів з доступу до мережі Інтернет, направлених до керівників центральних та місцевих органів виконавчої влади.
Цим листом ІнАУ просить КМУ вжити усіх передбачених законодавством України заходів, спрямованих на неухильне виконання ДССЗЗІ вимог законодавства та відкликати листи ДССЗЗІ, направлені у березні 2019 року до керівників центральних та місцевих органів виконавчої влади щодо укладення договорів з доступу до мережі Інтернет з операторами (провайдерами) телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації, як такі, що не ґрунтуються на вимогах законодавства України та порушують права та законні інтереси операторів, провайдерів телекомунікацій.
Також направлено відповідного листа до Держспецзв’язку: Лист № 101 Голові Держспецзв'язку 26.04.2019 щодо відкликання листів про укладення договорів з доступу до мережі Інтернет, направлених до керівників центральних та місцевих органів виконавчої влади
Готуються до відправки листи до керівників ОДА з проханням відкликати листи цих ОДА до структурних підрозділів, підприємств, організацій та установ, які перебувають у підпорядкуванні цих ОДА, про укладення договорів з доступу до мережі Інтернет тільки з операторами/провайдерами телекомунікацій, у яких наявні документи на підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації (в разі, якщо такі листі були направлені на підставі зазначених звернень ДССЗЗІ).
Вся історія цього питання така:
- 30.08.2017. Президент видав Указ №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації» у підпункті б) пункту 5 частини 1 Рішення Ради національної безпеки і оборони України від 10 липня 2017 року передбачає врегулювання Кабміном у тримісячний строк питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
- 07.09.2017. ІнАУ направила запит: Лист № 152 від 07.09.2017 Прем'єр-міністру України щодо Указу Президента №254/2017 про введення в дію рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким ІнАУ надавала ряд коментарів та просила не припустити порушення законодавства та обмеження прав громадян і суб’єктів господарювання при здійсненні заходів щодо Указу Президента України №254/2017, згідно з яким КМУ в тримісячний строк має врегулювати питання щодо заборони державним органам і підприємствам закуповувати послуги з доступу до Інтернету у операторів/провайдерів телекомунікацій, котрі не мають КСЗІ (комплексної системи захисту інформації).
- 12.10.2017. ДССЗЗІ опублікувала Перелік операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають на жовтень місяць 2017 року діючі атестати відповідності системи захисту ЗВІД.
- 19.10.2017. ІнАУ отримала формальну відповідь з ДССЗЗІ: Лист № 224 від ДССЗЗІ 19.10.2017 щодо розгляду звернення стосовно Указу Президента №254/2017 про рішення РНБОУ від 10.07.2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де Адміністрація ДССЗЗІ зазначає, що зараз триває розробка проекту відповідного документу, і згодом його оприлюднять для обговорення.
- 22.11.2017. ІнАУ отримала запит від члена ИнАУ: Лист № 241 від ТОВ «ІНТЕР-ТЕЛЕКОМ» 22.11.2017 щодо надання роз'яснень стосовно Указу Президента України № 254/2017 «Про стан виконання рішення РНБОУ від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», де член ИнАУ просить дати відповідь на 2 питання: чи потрібна оператору, який надає послуги держорганам, КСЗІ та чи зверталась ІнАУ до держорганів за поясненнями.
- 24.11.2017. ІнАУ надала відповідь члену ІнАУ на його запит: Лист № 190 від 24.11.2017 ТОВ «ІНТЕР-ТЕЛЕКОМ» щодо розгляду звернення про надання інформації стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації».
- 30.11.2017. ІнАУ направила повторний лист-запит в ДССЗЗІ: Лист № 192 від 30.11.2017 Голові ДССЗЗІ щодо запиту про надання роз'яснень стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», яким просила надати інформацію про проект нормативно-правового акту щодо заборони державним органам укладати договори з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації відповідно до Указу Президента №254/2017. ІнАУ намагається з’ясувати питання для однозначного розуміння стану впровадження підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 (див Указ Президента №254/2017), а саме:
1) На якому етапі знаходиться та в який найближчий час заплановано оприлюднення для громадського обговорення проекту нормативно-правового акту, розробленого на виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 та про що повідомлено у листі від 18.10.2017 № 04/02/01-2550?
2) У разі виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 у інший спосіб (тобто не шляхом прийняття нормативно-правового акту), де і на якому ресурсі можна ознайомитись з такими рішеннями Кабінету Міністрів України чи рішеннями інших органів державної влади, розробленими на виконання вимог Рішення РНБО від 10.07.2017?
3) Положення відповідного нормативно-правового акту, яким надано право складання, ведення та оприлюднення Держспецзв’язку Переліку операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають діючі атестати відповідності системи захисту ЗВІД?
- 10.01.2018. Отримано відповідь від ДССЗІ: Лист № 06 від ДССЗЗІ 10.01.2018 щодо розгляду звернення стосовно Указу Президента № 254/2017 «Про стан виконання рішення РНБОУ 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації». У відповіді ДССЗЗІ зазначає, що цей проект перебуває в розробці і буде оприлюднено для обговорення в разі рішення ДРС щодо регуляторного статусу цього документу.
- 14.08.2018. ІнАУ направила зауваження до проекту змін до Постанови КМУ №522: Лист ІнАУ №124 від 14.08.2018 щодо проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522», яким ми надавали зауваження до попереднього проекту змін щодо врегулювання підключення до Інтернету інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів, підприємств, установ та організацій.
- 16.11.2018. ДССЗЗІ оприлюднила для обговорення новий Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»:
- 22.11. 2018 Отримана відповідь ДССЗЗІ: Лист № 264 від Держспецзв'язку 22.11.2018 щодо надання роз'яснень стосовно проекту постанови КМУ «Про внесення змін до постанови Кабінету Міністрів України від 12 квітня 2002 р. № 522». У відповіді ДССЗІ зазначає, що зауваження ІнАУ частково враховані, і наводить обґрунтування врахування/неврахування по кожній з пропозицій ІнАУ.
- ДССЗЗІ оприлюднила для обговорення новий проект Постанови КМУ, який має ту саму мету виконання вимог підпункту 5б) пункту 1 Рішення РНБО від 10.07.2017 «Про стан виконання Рішення РНБО від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13.02.2017 № 32»: Проект постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет».
- 07.12.2018. ІнАУ направила зауваження до цього проекту ДССЗЗІ: Лист № 216 від 07.12.2018 Голові Держспецзв'язку щодо надання пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», яким ми надавало відповідні зауваження, а також направити проект постанови на погодження до АМКУ.
- 04.01.2019. ІнАУ отримала відповідь від АМКУ на лист №216 від 07.12.2018 щодо проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет»: Лист № 06 від АМКУ 04.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет». АМКУ у своєму листі повідомив ІнАУ, що він направив до Держспецзв’язку листа про те, що проект постанови у разі його прийняття може мати негативні наслідки для конкуренції. Таким чином, АМКУ підтримав позицію ІнАУ щодо проекту постанови.
- 09.01.2019. ІнАУ отримала два листа від ДССЗЗІ, в яких надані відповіді на пропозиції ІнАУ щодо проектів документів: Лист № 07 від Держспецзв'язку 09.01.2019 щодо розгляду зауважень до проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»та Лист № 08 від Держспецзв'язку 09.01.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет» Це відповідь на звернення ІнАУ: Лист № 216 від 07.12.2018 Голові Держспецзв'язку щодо надання пропозицій до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет», яким ми надавало відповідні зауваження, а також направити проект постанови на погодження до АМКУ. У відповідях Держспецзв’язку заявляє, що проект документу не дискримінує операторів за ознакою відсутності у них захищеного вузла доступу до Інтернету, і що наявність такого вузла дає операторам конкурентну перевагу. При цьому за наданими в листі ДССЗЗІ оцінками, вартість комплексу у мінімальній комплектації для створення захищеного вузла доступу становить 300-400 тис грн., також треба врахувати витрати на створення КСЗІ з підтвердженням відповідності – це 10-15% вартості системи.
- 22.01.2019. ІнАУ направила листи до ДССЗЗІ та Мінекономрозвитку з зауваженнями до проектів документів, які стосуються умов підключення до мережі Інтернет державних органів та організацій державної форми власності: Лист № 05 від 22.01.2019 Голові Держспецзв'язку щодо надання зауважень до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет» та Лист № 06 від 22.01.2019 Мінекономрозвитку щодо не підтримання проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури». В цих листах ІнАУ наполягає на необхідності врахування своїх зауважень щодо усунення необгрунтованих вимог до провайдерів, які обслуговують державні організації, і просить відмовити у погодженні проекту постанови КМУ у запропонованій редакції.
- 11.04. 2019. ІнАУ отримала 2 листи від Держспецзв'язку: Лист № 93 від Держспецзв'язку 11.04.2019 щодо розгляду пропозицій до проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» та Лист № 94 від Держспецзв'язку 11.04.2019 щодо розгляду зауважень до проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет». У відповідях ДССЗЗІ зазначає, що запровадження нового Порядку доступу до мережі Інтернет для державних через провайдерів, які мають власним коштом встановлювати захищені вузли доступу до мережі Інтернет з комплексними системами захисту інформації, не порушує законних прав та інтересів операторів/ провайдерів телекомунікацій.
- 16.04.2019. ІнАУ направила листи Прем’єр-Міністру України: Лист № 92/1-2 від 16.04.2019 щодо проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» та Лист № 91/1-2 від 16.04.2019 щодо проекту постанови КМУ «Про затвердження Порядку доступу до мережі Інтернет». Листи підготовлені у відповідь на позицію ДССЗЗІ, яка відмовилась брати до уваги аргументи ІнАУ і зазначає, що запровадження нового Порядку доступу до мережі Інтернет для державних через провайдерів, які мають власним коштом встановлювати захищені вузли доступу до мережі Інтернет з комплексними системами захисту інформації, не порушує законних прав та інтересів операторів/ провайдерів телекомунікацій.