Лист № 2339 від 12.12.2018
Державна служба спеціального зв’язку та захисту інформації України
Аналогічний лист: Державна регуляторна служба України
Щодо пропозицій до проекту постанови
Кабінету Міністрів України «Про затвердження
Порядку доступу до мережі Інтернет»
Асоціація «Телекомунікаційна палата України», яка створена для сприяння розвитку в Україні сфери цифрових технологій, зокрема, послуг доступу до Інтернет звертається з приводу наступного.
Адміністрацією Держспецзв’язку розроблено проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет» (далі – Проект) та розміщено на офіційному веб-сайті для громадського обговорення.
Враховуючи вказане та здійснений аналіз норм Проекту, надсилаємо пропозиції та зауваження у додатку до цього листа.
Просимо розглянути та врахувати при доопрацюванні Проекту.
Додатково повідомляємо, що пропозиції також надіслані на електронну пошту: cyber@dsszzi.gov.ua.
З повагою,
Тетяна Попова, Голова Ради Асоціації
Додаток до листа Телекомпалати від 13.12.2018 № 2340
ПОРІВНЯЛЬНА ТАБЛИЦЯ
до проекту постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет»
| Положення проекту акту | Положення проекту акту з пропозиціями | Обгрунтування |
| Порядок
доступу до мережі Інтернет
|
Порядок
доступу до мережі Інтернет органів виконавчої влади, інших державних органів, підприємства, установи та організації державної форми власності
|
Приведення у відповідність назви нормативного акту до його змісту |
| 1. Цей Порядок визначає порядок доступу органів виконавчої влади, інших державних органів, підприємств, установ та організацій державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, до мережі Інтернет.
|
Без пропозицій | |
| 2. У цьому Порядку терміни вживаються в такому значенні:
|
Без пропозицій | |
| абоненти мережі Інтернет (далі – абоненти) – органи виконавчої влади, інші державні органи (окрім закордонних дипломатичних установ України), підприємства, установи та організації державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси та інформаційно-телекомунікаційні системи яких підключені до мережі Інтернет;
|
абоненти мережі Інтернет (далі – абоненти) – органи виконавчої влади, інші державні органи (окрім закордонних дипломатичних установ України), підприємства, установи та організації державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, які включено до Національного реєстру електронних інформаційних ресурсів;
|
Спеціального захисту доцільно вимагати лише для державних інформаційних ресурсів, які створено суб’єктами владних повноважень для виконання їх функцій. Натомість, звичайне отримання послуг з доступу до мережі Інтернет державними установами, які не використовують державні інформаційні ресурси (бібліотеки, театри, навчальні заклади тощо) не потребують додаткового обмеження та застосування КСЗІ. Перелік державних інформаційних ресурсів визначено у відповідному реєстру. |
| веб-сервер – сервер, призначений для обробки запитів користувачів мережі Інтернет за протоколом НТТР та надання їм інформації у вигляді НТТР-відповідей, що містять у собі НТМL-сторінку, зображення, файли, медіа-потоки або інші дані;
поштовий сервер – сукупність апаратних і програмних засобів, призначених для прийому та передачі електронних повідомлень;
|
Без пропозицій | |
| сервер системи доменних імен – сукупність апаратних і програмних засобів, які забезпечують адресацію запитів користувачів глобальних мереж передачі даних.
|
Без пропозицій | |
| Інші терміни, що використовуються у цьому Порядку, визначені Законами України «Про телекомунікації» та «Про захист інформації в інформаційно-телекомунікаційних системах», «Про Державну службу спеціального зв’язку та захисту інформації України», «Про інформацію», Правилами надання та отримання телекомунікаційних послуг, затверджених постановою Кабінету Міністрів України від 11.04.2012 № 295.
|
Без пропозицій | |
| 3. Абоненти для забезпечення функціонування своїх доменів повинні використовувати сервер системи доменних імен сервера оператора, провайдера телекомунікацій (або власний сервер системи доменних імен), розміщений на підконтрольній Україні території.
|
Без пропозицій | |
| При цьому адреси власних веб-сайтів та електронної пошти абонентів мають відповідати назвам їх доменів.
|
Без пропозицій | |
| Доступ до власних веб-сайтів організовується виключно з використанням протоколу HTTPS.
|
Без пропозицій | |
| 4. Послуги з доступу до мережі Інтернет надаються відповідно до законодавства.
|
Без пропозицій | |
| Абоненти мають отримувати доступ до мережі Інтернет через Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку (далі – СЗДІ) або через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або мають дійсний документ, що підтверджує відповідність системи управління інформаційною безпекою, що застосовується при обробці інформації в захищеному вузлі доступу, вимогам стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), виданого національним чи іноземним органом з оцінки відповідності, акредитованим національним органом України з акредитації чи іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001).
|
Абоненти мають отримувати доступ до мережі Інтернет через один з зазначених способів:
– Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку (далі – СЗДІ); – власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю; – через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або мають дійсний документ, що підтверджує відповідність системи управління інформаційною безпекою, що застосовується при обробці інформації в захищеному вузлі доступу, вимогам стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), виданого національним чи іноземним органом з оцінки відповідності, акредитованим національним органом України з акредитації чи іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001).
|
редакційно |
| 5. Для доступу до мережі Інтернет:
органи виконавчої влади та інші державні органи реєструють свій домен у доменній зоні .gov.ua; інші абоненти реєструють свій домен у домені нижчого рівня домену .UA; усі абоненти реєструють свої офіційні адреси електронної пошти на поштових серверах операторів, провайдерів телекомунікацій або на власних поштових серверах, які розміщені на підконтрольній Україні території.
|
||
| 6. У ході експлуатації інформаційно-телекомунікаційних систем, підключених до мережі Інтернет, абоненти повинні дотримуватися вимог законодавства у сфері захисту інформації.
|
||
| 7. Інформаційно-телекомунікаційні системи, в яких обробляється службова інформація та/або інформація, що становить державну таємницю, забороняється підключати до мережі Інтернет.
|
7. Інформаційно-телекомунікаційні системи, в яких обробляється інформація, що становить державну таємницю, забороняється підключати до мережі Інтернет. | Поняття «службова інформація» є доволі широким, отже на практиці це може призвести до обов’язковості застосування КСЗІ всіма суб’єктами (абонентами) лише за формальною ознакою державної форми власності.
Критерій «державної таємниці» вважаємо обґрунтованим та достатнім. |
