Лист №76/1-6 від 24.05.2016 щодо проекту Закону України №2126а від 19.06.2015

Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
ВРУ, Верховна Рада України

Голові Комітету з питань інформатизації та зв’язку

Данченку О.І.

 

Голові Комітету з питань національної безпеки і оборони

Пашинському С.В.

 

Голові Комітету з питань законодавчого забезпечення правоохоронної діяльності

Кожемякіну А.А.

 

Голові Комітету з питань бюджету

Павелко А.В.

 

Голові Комітету з питань запобігання і протидії корупції

Соболєву Є.В.

 

Голові Комітету з питань європейської інтеграції

Іоновій М.М.

 

Вих. №76/1-6

від «24» травня 2016 року

 

Щодо проекту Закону України

№ 2126а

 

Інтернет Асоціація України (далі – ІнАУ) висловлює Вам свою повагу та звертається з приводу наступного.

ІнАУ підтримує нагальність та необхідність прийняття в Україні законодавчого акту, який врегульовуватиме суспільні відносини, пов’язані із забезпеченням кібербезпеки. Разом з цим, вважаємо, що окремі положення проекту Закону України «Про основні засади забезпечення кібербезпеки України» (реєстраційний № 2126а від 19.06.2015), з урахуванням редакції від 14.04.2016 (далі – проект Закону), потребують їх додаткового та суттєвого опрацювання.

З огляду на наведене, ІнАУ надає наступні зауваження та пропозиції.

1. У проекті Закону пропонується ввести низку термінів, які відсутні в законодавстві України. Тому, необхідно звернути увагу на обґрунтованість та відповідність меті правового регулювання наступних термінів.

Так, базовий для проекту Закону термін «кібербезпека» запропоновано визначити як «захищеність життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі, за якого забезпечується сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».

Разом з цим, запропонована дефініція не акцентує увагу на запобіганні шкоди, яка може мати місце в результаті реалізації загроз кібербезпеки, що не дозволяє вичерпно сформулювати мету правового регулювання.

Такий підхід реалізовано в Стратегіях забезпечення кібербезпеки багатьох держав. Наприклад, «кібербезпека – це сукупність зусиль щодо запобігання шкоди, що може бути заподіяна внаслідок збоїв у роботі ІКТ або неправильного їх використання, а також з відновлення ІКТ після реалізації цих загроз» (Нідерланди, 2013 р). В Канаді  рівень кібербезпеки визначається рівнем шкоди, що може бути завданий від кібератаки.

Крім цього, зазначаємо наступне:

·      необхідно визначити, що таке «стан захищеності»;

·      у кіберпросторі не можуть існувати інтереси людини і громадянина, суспільства та держави, оскільки, відповідно до визначення цього поняття, це – середовище (віртуальний простір) (див. визначення поняття «кіберпростір»);

·      у чинному законодавстві відсутнє поняття «цифрове комунікативне середовище», яке використовується у проекті Закону, тому необхідно надати визначення цього терміну у статті 1 проекту Закону;

·      визначення поняття «кібербезпека» не дає методологічних підстав для визначення критеріїв забезпечення кібербезпеки.

Визначення терміну «кібербезпека» базується на дефініції терміну «кіберпростір», який пропонується розуміти як «середовище (віртуальний простір), яке надає можливості (послуговує) здійсненню комунікацій та/або реалізації суспільних відносин, утворене внаслідок функціонування сумісних (з’єднаних) комунікаційних систем та забезпечення електронних комунікацій з використанням Інтернет та/або інших глобальних мереж передачі даних».

Запропоноване визначення беззаперечно виключає з поля дії автономні автоматизовані системи управління (наприклад, об’єктів атомної енергетики), які, саме з огляду на вимоги безпеки, є автономними.

Надане  визначення терміну «кіберпростір» суб’єктно обмежує «простір» лише інформаційними (автоматизованими), телекомунікаційними та інформаційно-телекомунікаційними системами, тобто автоматизованими системами.

Крім того, не надано визначення терміну «середовище», що призводить до невизначеності у тлумаченні терміну «кіберпростір».

Зазначене не дозволить юридично визначити суб’єкти правовідносин, які регулюються нормами закону, у разі його прийняття.

Таким чином, невдале визначення термінів «кібербезпека» та «кіберпростір» логічно приводить до невірного визначення мети та предмета правового регулювання закону, а, головне, до невірного визначення комплексу заходів щодо забезпечення кібербезпеки.

У визначенні терміну «кіберзлочин» словосполучення «міжнародним законодавством» замінити на словосполучення «міжнародним правом».

Проста підстановка в термін «кіберзлочин» визначення кіберпростору дає наступний результат: «кіберзлочин — суспільно-небезпечне винне діяння у кіберпросторі середовищі, яке виникає в результаті функціонування на основі єдиних принципів і за загальними правилами інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем, передбачене законодавством України про кримінальну відповідальність». Вочевидь такий підхід до визначення цього виду злочинів потребує ґрунтовного пояснення.

Аналогічного пояснення вимагають і формулювання дефініцій термінів  «кібертероризм», «кібероборона» тощо.

Відносно терміну «критично важливі об’єкти інфраструктури (критичні інфраструктурні об’єкти)», то зауважуємо на тому, що запропоноване формулювання та розкриття цього терміну не передбачає виділення саме об’єктів такої інфраструктури, а вказує лише на «підприємства, установи та організації незалежно від форм власності».

У визначенні терміну «інцидент кібербезпеки (кіберінцидент)» необхідно зазначити вид безпеки, а також замінити слово «зриву» на інше, або надати ширше та зрозуміліше його тлумачення.

Визначення терміну «кіберзагроза» не співвідноситься за обсягом інформації, наведеної у терміні «кібербезпека», та не відповідає визначенню цього терміну.

У визначенні терміну «національні електронні інформаційні ресурси (національні інформресурси)» звертаємо увагу, що «цифрова» форма представлення інформації є матеріальною, тому вираз «у цифровій чи іншій нематеріальній форму» є некоректним.

У визначенні терміну «національна телекомунікаційна мережа» звертаємо увагу на наступне:

·      законодавча техніка не дозволяє використовувати вирази, як-то «інших комунікаційних систем». Тому, при визначенні терміну необхідно чітко прописати перелік таких комунікаційних систем;

·      жодна телекомунікаційна мережа, в т.ч. й національна, з огляду на визначення терміну «телекомунікаційна мережа», наведеного у статті 1 Закону «Про телекомунікації», не призначена для створення, оброблення, зберігання національних інформресурсів, надання спектру сучасних захищених інформаційно-комунікаційних (мультисервісних) послуг, для надання послуг, зокрема, із кіберзахисту, іншим споживачам.

З урахуванням наведеного, зазначений термін потребує доопрацювання та приведення у відповідність до чинного законодавства.

Визначення терміну «система електронних комунікацій (комунікаційна система)» не відповідає визначенню, даному у ДИРЕКТИВІ 2002/21/ЄC ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ від 7 березня 2002 року про спільні правові рамки для електронних комунікаційних мереж та послуг (Рамкова Директива): електронна комунікаційна мережа – комплекс активних і пасивних технічних засобів, ресурсів, споруд призначених для передачі та/або прийому, маршрутизації, комутації електромагнітних сигналів дротовими, радіо, оптичними чи іншими електромагнітними системами та засобами, включаючи супутникові мережі, фіксовані (з комутацією каналів і з комутацією пакетів, в тому числі Інтернет) та мобільні наземні мережі, електричні кабельні мережі в тій мірі, в якій вони використовуються для передачі сигналів, мережі, що використовуються для радіо і телевізійного мовлення, мережі кабельного телебачення, незалежно від типу інформації, що передається».

2. Мета Закону, визначена у статті 2, значно вужча завдання забезпечення кібербезпеки, з огляду на визначення цього терміну.

Крім цього, системи електронних комунікацій належать операторам телекомунікацій, тому, вираз «систем електронних комунікацій органів державної влади та місцевого самоврядування (далі – по тексту), є некоректним.

Також некоректно сформульовано перелік відносин, на яких поширюється Закон. Зазначене обґрунтовуємо наступним:

·      в системах електронних комунікацій інформація, що передається, не обробляється і не зберігається;

·      у формулюваннях не враховано один із принципів захисту інформації, як-то забезпечення її цілісності;

·      закон не може поширюватись на «комунікаційні та технологічні системи, призначені для її оброблення» оскільки законом можуть врегульовуватись певні суспільні відносини;

·      закон не може поширюватись на «соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет»;

·      блог-платформи, відеохостинги – це не приватні електронні інформаційні ресурси в мережі Інтернет.

У абзаці 2 частини третьої статті 2 проекту Закону словосполучення «максимально можливого» виключити.

З огляду на предмет врегулювання суспільних відносин, визначення термінів, норма, зазначена в абзаці 3 частини третьої статті 2 проекту Закону, не має відношення до цього закону.

3. Перелік об’єктів кібербезпеки, наведений у частині першій статті 5 проекту Закону, не відповідає визначенню терміну «кібербезпека».

Крім цього, перелік об’єктів кіберзахисту не охоплює всієї множини усіх можливих  об’єктів.

4. Частиною другою статті 6 проекту Закону визначено, що РНБО здійснює координацію та контроль діяльності суб’єктів сектору безпеки і оборони, які забезпечують кібербезпеку України.

Разом з цим, залишається невизначеним, хто буде відповідати за забезпечення кібербезпеки у інших сегментах, зокрема: органів державної влади та державного управління, економіки, судової системи, приватного сектору, тощо.

5. Пропонуємо у частині четвертій статті 6 проекту Закону, у якій  наведено перелік суб’єктів, які безпосередньо здійснюють у межах своєї компетенції заходи із забезпечення кібербезпеки, доповнити:

«центральні органи виконавчої влади зі спеціальним статусом».

У абзаці 6 частині четвертій статті 6 проекту Закону вказати:

«підприємства, установи та організації, у власності або віданні яких знаходяться критично важливі об’єкти інфраструктури» замість «підприємства, установи та організації, віднесені до критично важливих об’єктів інфраструктури».

6. У абзаці 1 частини першої статті 7 проекту Закону потрібно конкретизувати поняття «галузь енергетики». Тобто, у розумінні цього закону маються на увазі обленерго та інші суб’єкти господарювання, які здійснюють генерацію, постачання та передачу електроенергії, чи абсолютно усі суб’єкти господарювання що здійснюють господарську діяльність у сфері енергетики.

Таке ж зауваження стосується і щодо деталізації понять усіх галузей, перелік яких наведено у абзаці 1 частини першої статті 7 проекту Закону.

Крім цього, перелік критично важливих об’єктів інфраструктури, наведений у частині 7 проекту Закону, не відповідає визначенню терміну «критично важливі об’єкти інфраструктури (критичні об’єкти інфраструктури)».

7. У частині третій статті 7, абзаці 7 частини другої статті 9 та по змісту проекту Закону застосовується термін «аудит інформаційної безпеки». Разом з цим, зміст проекту Закону не розкриває це поняття. У проекті Закону також не прослідковується співвідношення інформаційної безпеки та кібербезпеки.

З урахуванням цього, пропонуємо статтю 1 проекту Закону доповнити визначенням терміну «аудит інформаційної безпеки».

8. У статті 8 проекту Закону наведено перелік принципів забезпечення кібербезпеки України. При цьому, у проекті Закону не описана сама процедура кіберзахисту.

Є таким, що не може бути реалізованим, принцип «відповідального поводження в кіберпросторі», вказаний у абзаці 3 частини першої статті 8 проекту Закону, оскільки залишається незрозумілим, хто з фізичних або юридичних осіб функціонує у кіберпросторі (віртуальному просторі).

У абзаці 7 частини першої статті 8 проекту Закону конкретизувати, які саме запобіжні заходи є пріоритетними.

Абзац 8 частини першої статті 8 проекту Закону пропонуємо виключити, оскільки, за будь-яке правопорушення або злочин настає відповідальність.

Абзац 9 частини першої статті 8 проекту Закону пропонуємо виключити, оскільки він містить загальні формулювання та не є предметом правового регулювання цим законом.

Частина третя статті 8 проекту Закону також декларативна, тому її зміст потребує доопрацювання або виключення.

9. Виходячи зі змісту статті 9 проекту Закону, зокрема частини другої, залишається не визначеним, який державний орган у повному обсязі матиме повноваження щодо формування державної політики задля забезпечення кібербезпеки України.

У абзаці 2 частини другої статті 9 проекту Закону після словосполучення «державної політики щодо» виключити словосполучення «захисту у кіберпросторі державних інформаційних ресурсів та інформації», оскільки, виходячи із визначення терміну, у кіберпросторі немає державних інформаційних ресурсів та інформації.

Крім зазначеного, необхідно одночасно внести зміни до законодавчих актів, які регулюють діяльність та визначають повноваження установ, державних органів, перелік яких зазначено у абзацах 2-5, 7 частини другої статті 9 проекту Закону, з метою дієвої реалізації повноважень, які передбачаються у зазначених нормах проекту Закону.

10. У частині третій статті 9 проекту Закону наведено перелік дій, які повинні забезпечувати функціонування національної системи кібербезпеки. Разом з цим, на сьогодні, законодавчо залишається неврегульованим питання про те, які саме державні органи чи інші установи будуть реалізовувати зазначені положення закону.

Тому, положення, зазначені у частині третій статті 9 проекту Закону, потребують розширення з урахуваннях наданих зауважень.

Крім цього,  зі змісту частини третьої статті 9 проекту Закону пропонуємо виключити:

·      абзаци 4, 11 та 17 як такі, що не є предметом регулювання цього закону;

·      абзац 12, як такий, що не відповідає визначенню терміну кібербезпека та не узгоджується з ідеєю забезпечення кібербезпеки України, визначеною у проекті Закону;

·      у проекті Закону виключити поняття або надати визначення термінів «безпечне використання мережі Інтернет», «періодичне проведення огляду національної системи кібербезпеки», «галузеві індикатори стану кібербезпеки», оскільки ці поняття використовуються у статті 9 проекту Закону.

У частині четвертій статті 9 проекту Закону необхідно зазначити,  до повноваження якого(их) державного(их) органу(ів) належатиме розроблення Порядку функціонування національної телекомунікаційної мережі, критерії, правила та вимоги щодо надання послуг, їх тарифікації для користувачів бюджетної сфери, відшкодування витрат державного бюджету на утримання національної телекомунікаційної мережі, який затверджуватиме Кабінет Міністрів України.

 

Враховуючи надані суттєві зауваження, ІнАУ пропонує проект Закону України «Про основні засади забезпечення кібербезпеки України» (реєстраційний № 2126а від 19.06.2015), з урахуванням редакції від 14.04.2016, не погоджувати та направити авторам на доопрацювання.

                                                                                         

 

 

З повагою,

 

Голова Правління

Інтернет Асоціації України                                                                               О. Федієнко