Голові Державної служби
спеціального зв’язку та захисту
інформації України
Євдоченку Л.О.
Вих. № 192
від 30 листопада 2017 р.
Щодо надання інформації
Шановний Леоніде Олександровичу!
Інтернет Асоціація України (далі – ІнАУ) висловлює Вам повагу та звертається з приводу наступного.
У зв’язку із введенням в дію Указом Президента України від 30.08.2017 № 254/2017 Рішення РНБО від 10.07.2017 «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32» (далі – Рішення РНБО від 10.07.2017), у операторів, провайдерів, які надають послуги доступу до мережі Інтернет, на сьогодні, виникають питання, пов’язані із реалізацією підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017.
Зокрема, відповідно до підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 Кабінет Міністрів України у тримісячний строк зобов’язаний був врегулювати питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації.
Відповідно до статті 107 Конституції України РНБО України є координаційним органом з питань національної безпеки і оборони при Президентові України. Рада національної безпеки і оборони України координує і контролює діяльність органів виконавчої влади саме у сфері національної безпеки і оборони, а, відтак, прямо не встановлює прав та обов’язків для операторів та провайдерів телекомунікацій.
Відповідно до статті 10 Закону України «Про Раду національної безпеки і оборони України» рішення РНБО, введені в дію указами Президента України, є обов’язковими до виконання органами виконавчої влади.
Задля врегулювання зазначеного механізму, на нашу думку, є обов'язковим прийняття нормативно-правового акту, оскільки назване положення Рішення РНБО від 10.07.2017 направлене на врегулювання відносин, що мають міжвідомчий характер, тобто, мають врегульовувати відносини між державними органами, підприємствами, установами і організаціями державної форми власності та операторами, провайдерами телекомунікацій з питань отримання/надання телекомунікаційних послуг. Крім цього, положення ЦК України, ГК України, Закону України «Про публічні закупівлі», законодавства, яке регулює діяльність у сфері телекомунікацій, не містять для операторів, провайдерів телекомунікацій особливостей укладення договорів про надання послуг з доступу до мережі Інтернет з державними органами, підприємствами, установами і організаціями державної форми власності.
19 жовтня 2017 року за вх. № 224 ІнАУ отримано від Держспецзв’язку лист від 18.10.2017 № 04/02/01-2550, у якому зазначено, що з метою врегулювання питання, розробляється проект нормативно-правового акту та буде оприлюднено на офіційному веб-сайті Держспецзв’язку.
Проте, до сьогодні, нормативно-правовий акт, який би врегульовував зазначене питання, Кабінетом Міністрів України не прийнято, та, відповідно, у загальному доступі відсутній і проект такого нормативно-правового акту для ознайомлення громадськості.
Правила та умови здійснення операторами, провайдерами діяльності з надання послуги з доступу до мережі Інтернет впродовж 2017 року не змінювались. Будь-які зміни до процедур публічних закупівель, в т.ч. вимог до учасників за предметом закупівлі послуг доступу до мережі Інтернет, також не приймались.
Разом з цим, Держспецзв'язку на власному веб-сайті http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=283080&cat_id=44795 з посиланням на виконання підпункту б) пункту 5) частини першої Рішення РНБО надає такі роз’яснення: «підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації здійснюється в рамках проведення державної експертизи в сфері технічного захисту інформації, порядок проведення якої визначається «Положенням про державну експертизу в сфері технічного захисту інформації», затвердженим наказом Адміністрації Держспецзв'язку від 16.05.2007 № 93 зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087. На підставі позитивного рішення щодо результатів оцінки системи захисту ЗВІД видається зареєстрований Держспецзв’язку Атестат відповідності».
Крім цього, з жовтня п.р. Держспецзв'язку запровадила ведення Переліку операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають на жовтень місяць 2017 року діючі атестати відповідності системи захисту ЗВІД.
Пунктом 1.3. Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16.05.2007 № 93, зареєстрованого в Міністерстві юстиції України 16.07.2007 за № 820/14087 (далі – Положення), визначено, що його дія поширюється на всіх юридичних та фізичних осіб, які є суб'єктами експертизи. Суб’єктами експертизи визначено, зокрема, юридичні та фізичні особи-власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ - замовники експертизи. Об’єктами експертизи є: комплексні системи захисту інформації, які є невід'ємною складовою частиною інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи; технічні та програмні засоби, які реалізують функції ТЗІ.
Слід звернути увагу й на те, що Положення було чинним і будь-які зміни до нього не внесено у зв’язку з введенням в дію Рішення РНБО від 10.07.2017.
Отже, відповідно до вимог Положення, телекомунікаційні мережі, у розумінні визначення, наданого у статті 1 Закону України «Про телекомунікації», за допомогою яких оператори, провайдери телекомунікацій надають послуги доступу до мережі Інтернет, не є об’єктами експертизи, а, відповідно, оператори, провайдери, які надають послуги доступу до мережі Інтернет, не є суб’єктами експертизи.
На нашу думку, незаконна вимога виконання Положення, має наслідком додаткові фінансові витрати для операторів провайдерів телекомунікацій, а також ознаки корупційних діянь, зокрема в частині порушення працівниками органів державної влади зобов’язання неухильного додержання вимог закону під час виконання службових повноважень.
Враховуючи наведене та керуючись ст. 34 Конституції України, п.п.6-8 п.4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03.09. 2014 № 411 зі змінами, просимо надати наступну інформацію для однозначного розуміння стану впровадження підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017:
1. На якому етапі знаходиться та в який найближчий час заплановано оприлюднення для громадського обговорення проекту нормативно-правового акту, розробленого на виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 та про що повідомлено у листі від 18.10.2017 № 04/02/01-2550?
2. У разі виконання підпункту б) пункту 5) частини першої Рішення РНБО від 10.07.2017 у інший спосіб (тобто не шляхом прийняття нормативно-правового акту), вкажіть, де і на якому ресурсі можна ознайомитись з такими рішеннями Кабінету Міністрів України чи рішеннями інших органів державної влади, розробленими на виконання вимог Рішення РНБО від 10.07.2017?
3. Зазначте положення відповідного нормативно-правового акту, яким надано право складання, ведення та оприлюднення Держспецзв’язку Переліку операторів (провайдерів) телекомунікацій, які надають послуги з доступу до мережі Інтернет та мають діючі атестати відповідності системи захисту ЗВІД?
З повагою,
Голова Правління Інтернет Асоціації України О. Федієнко