Лист № 81 від 06.06.2018 ДССЗЗІ щодо надання зауважень та пропозицій до проекту постанови КМУ

06.06.2018
Вихідні реквізити: 
Вих. № 81 від 06.06.2018
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Голові Адміністрації Державної служби спеціального зв’язку та захисту інформації України

Євдоченку Л.О.

вул. Солом’янська, 13, м. Київ, 03110

 

Копія: Голові Державної регуляторної служби України

Ляпіній К.М.

вул. Арсенальна, 9/11, м. Київ, 01011

 

Вих. № 81

від 06 червня 2018 р.

 

Зауваження та пропозиції до проекту

постанови Кабінету Міністрів України

 

Шановний Леоніде Олександровичу!

Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 200 підприємств сфери ІКТ, серед яких, в переважній більшості, оператори та провайдери телекомунікацій України, засвідчує Вам свою повагу та звертається з приводу наступного.

18 травня 2018 року на офіційному веб-сайті Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі – Адміністрація ДССЗЗІ) www.dsszzi.gov.ua у підрозділі «Повідомлення про оприлюднення та проекти» розділу «Регуляторна діяльність» оприлюднено проект постанови Кабінету Міністрів України «Про затвердження порядків формування переліку об’єктів критичної інформаційної інфраструктури, внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування» (далі – проект постанови), розроблений на виконання вимог частини третьої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон).

ІнАУ, вивчивши проект постанови, надає зауваження та пропозиції з метою їх врахування в остаточному тексті документу.

Щодо проекту Порядку формування переліку об’єктів критичної інформаційної інфраструктури (далі – проект Порядку):

1. У пункті 1 проекту Порядку після слів «суб’єктів забезпечення кібербезпеки» виключити слова «критичної інфраструктури», що відповідатиме розумінню поняття «суб’єкти забезпечення кібербезпеки», даного у статті 5 Закону.

2. Вважаємо, що у проекті Порядку надано не чітке визначення терміну «суб’єкт критичної інформаційної інфраструктури». Визначення терміну потрібно доопрацювати, зокрема, зазначивши, що під дію даного визначення підпадають юридичні особи незалежно від форми власності. Крім того, задля приведення термінології, яка застосовуватиметься, вираз «інформаційні та інформаційно-телекомунікаційні системи» замінити на вираз «комунікаційні або технологічні системи», як це застосовується у Законі. Також, у визначенні даного терміну не зовсім зрозуміло, яке юридичне навантаження несе вираз «функціонування об’єктів критичної інфраструктури у штатному режимі у відповідній галузі або сфері», тобто, що слід розуміти у понятті «функціонування у штатному режимі».

3. Оскільки, у частині першій статті 6 Закону наведено перелік галузей та видів діяльності, здійснюючи у яких діяльність підприємства, установи та організації незалежно від форми власності можуть бути віднесені до об’єктів критичної інфраструктури, вважаємо за недоцільне повторювати цей перелік у пункті 3 проекту Порядку.

Тому, пункт 3 проекту Переліку пропонуємо викласти в редакції:

«До Переліку включаються об’єкти критичної інформаційної інфраструктури об’єктів критичної інфраструктури, включених до Переліку об’єктів критичної інфраструктури».

4. Необхідно чітко сформулювати речення у абз. 2 пункту 4 проекту Порядку, оскільки, із запропонованої редакції тексту незрозуміло, що саме слід розуміти у виразі «значущість об’єкта критичної інформаційної інфраструктури для правоохоронної сфери, національної безпеки і оборони України».

Якщо врахувати положення п.п.1 частини другої статті 4 Закону, то це – комунікаційні та технологічні системи правоохоронних органів та військових формувань, утворених відповідно до закону.

Отже, пропонована ІнАУ редакція абз. 2 пункту 4 проекту Порядку:

«значущості об’єкта критичної інформаційної інфраструктури для правоохоронних органів, військових формувань, утворених відповідно до закону, та національної безпеки України».

5. Крім цього, у пункті 4 проекту Порядку необхідно в цілому визначитись, що саме слід розуміти в категорії «значущість», тобто, це обсяги, територіальність тощо.

6. Пропонуємо із тексту пункту 4 проекту Порядку виключити останній абзац, в якому зазначено, як категорію визначення необхідності включення об’єкта критичної інфраструктури до Переліку, «політичну значущість, яка виражається оцінкою можливого нанесення втрат Україні у внутрішній і зовнішній політиці», як такий, що не узгоджується із метою Закону, а також із положеннями статей 4, 6 Закону, якими, саме політичні інтереси держави не визначаються як об’єкт захисту в кіберпросторі. Частиною першою статті 4 Закону визначено, що об’єктами кібербезпеки, зокрема, є держава, її конституційний лад, суверенітет, територіальна цілісність і недоторканність, національні інтереси в усіх сферах життєдіяльності особи, суспільства та держави. Зазначене положення Закону доповнюється статтями 1, 5, 17 Конституції України, нормами Закону України «Про основи національної безпеки України, іншими актами законодавства.

З цих же мотивів, пропонуємо виключити із пункту 5 проекту Порядку пункти, якими Адміністрація ДССЗЗІ, як критерії включення об’єкта критичної інформаційної інфраструктури до Переліку пропонує «негативний вплив на суспільно-політичну ситуацію в державі» та «негативний вплив на імідж держави». В противному разі, необхідно розробити та зазначити про це в проекті постанови певні індикатори, які вказуватимуть на наявність зазначених критеріїв та їх вплив на кіберпростір.

7. У пункті 8 проекту Порядку пропонуємо передбачити, що, для подання до Адміністрації ДССЗЗІ відомостей про об’єкт критичної інформаційної інфраструктури використовується лише електронна форма.

8. У пункті 9 проекту Порядку пропонуємо також зазначити, хто (який державний орган) є власником державного реєстру об’єктів критичної інформаційної інфраструктури.

9. Зі змісту пункту 11 проекту Порядку, вважаємо, не чітко можна зрозуміти, які принципи взаємодії між державним органом та суб’єктом права приватної власності при формуванні переліків об’єктів критичної інформаційної інфраструктури закладено в проекті Порядку, адже останні не знаходяться, зокрема, у розпорядженні державних чи інших уповноважених органів, який забезпечує формування і реалізацію державної політики у відповідній галузі або сфері діяльності.

Таким чином, зазначене положення проекту Порядку потребує суттєвого редакційного доопрацювання з метою забезпечення принципу недоторканності права приватної власності та врахування об’єктів критичної інформаційної інфраструктури усіх форм власності за переліками та видами господарської діяльності, вказаними у частині першій статті 6 Закону, при формуванні відповідних переліків.

Враховуючи наведене, пропонуємо пункти 11 та 12 проекту Порядку викласти в редакції:

«Галузеві переліки об’єктів критичної інформаційної інфраструктури формуються та ведуться державним органом, який забезпечує формування і реалізацію державної політики у відповідній галузі або сфері діяльності, на підставі даних, об’єктів критичної інфраструктури, що знаходяться у його власності чи розпорядженні та відомостей, отриманих від інших суб’єктів критичної інформаційної інфраструктури відповідних галузей або сфер діяльності».

10. Із переліку інформації для формування галузевого переліку об’єктів критичної інформаційної інфраструктури, визначеного у пункті 15 проекту Порядку, пропонуємо виключити необхідність подання інформації про відомості «щодо призначення і архітектури об’єкта критичної інформаційної інфраструктури, сервіси з управління, контролю або моніторингу, які здійснюються об’єктом критичної інформаційної інфраструктури», оскільки, частково, ці дані схожі з інформацією про «взаємодію об’єкта критичної інформаційної інфраструктури з іншими об’єктами критичної інформаційної інфраструктури», яка також буде надаватись з метою формування галузевого переліку.

11. У пунктах 15 та 17 проекту Порядку пропонуємо передбачити обов’язковість заходів з ідентифікації осіб, які передають інформацію про об’єкти критичної інформаційної інфраструктури.

Зазначені пункти в проекті Порядку вважаємо також за доцільне доповнити положеннями про персональну відповідальність осіб, винних у розголошенні інформації стороннім особам з порушенням процедури та підстав надання інформації.

12. Крім цього, пропонуємо із тексту проекту Порядку виключити положення, визначені у пункті 6, якими пропонується встановити додаткові повноваження Кабінету Міністрів України щодо встановлення правил категоріювання об’єктів критичної інформаційної інфраструктури, а також переліки і показники критеріїв віднесення до об’єктів критичної інформаційної інфраструктури інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, які забезпечують управлінські, технологічні, виробничі, фінансово-економічні, інші процеси в рамках виконання функцій (повноважень) або здійснення видів діяльності суб’єктів критичної інфраструктури.

В першу чергу, такі повноваження Кабінету Міністрів України не визначені ані Конституцією України, ані Законом. По-друге, зазначені вимоги можуть бути опрацьовані та включені до даного проекту Порядку, як єдиного документу, який визначатиме порядок формування переліку критичної інформаційної інфраструктури.

 

Щодо проекту Порядку внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування (далі – проект Порядку 1).

1. Пропонуємо пункт 11 проект Порядку 1 доповнити положеннями з вказівкою про те, що збирання, зберігання, використання та захист інформації, що міститься у Реєстрі, здійснюється відповідно до Закону України «Про захист персональних даних». Запит на отримання інформації з Реєстру повинен відповідати вимогам, встановленим у цьому Законі.

Доступ до Реєстру державним органам надається з дотриманням законів України «Про захист персональних даних», «Про оперативно-розшукову діяльність», «Про контррозвідувальну діяльність», Кримінально-процесуального кодексу України та за наявності визначених законом підстав.

 

Враховуючи наведене, вважаємо, що проект постанови потребує суттєвого доопрацювання.

 

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                 О.Федієнко