Спільний лист №90-77 від 26.05.2016 щодо проекту Закону України «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень

Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
ВРУ, Верховна Рада України

ІНТЕРНЕТ АСОЦІАЦІЯ УКРАЇНИ

УКРАЇНСЬКИЙ СОЮЗ ПРОМИСЛОВЦІВ І ПІДПРИЄМЦІВ

 

Комісія з питань науки і ІТ

01034, м Київ, вул.О.Гончара,15/3,офіс 22

тел./факс: (044) 2782925

01001, м. Київ, вул. Хрещатик, 34,

тел.: (044) 2783069, факс: (044) 2263152

 

 

Голові Верховної Ради України

Парубію А.В.

 

Голові Комітету ВРУ з питань інформатизації та зв’язку

Данченку О.І.

 

Голові Комітету ВРУ з питань фінансової політики і банківської діяльності

Рибалці С.В.

 

Голові Комітету з питань бюджету

Павелку А.В.

 

Голові Комітету ВРУ з питань європейської інтеграції

Іоновій М.М.

 

Голові Комітету ВРУ з питань національної безпеки і оборони

Пашинському С.В.

 

Вих. №90/1-6 – 77/1-6

від 26 травня 2016 р.

 

Щодо проекту Закону України «Про внесення змін

до деяких законодавчих актів України щодо обробки

інформації в системах хмарних обчислень»

 

Інтернет Асоціація України та Комісія УСПП з питань науки та ІТ висловлюють Вам свою повагу та звертаються з наступного.

24 березня 2016 року у Верховній Раді України зареєстровано проект Закону України «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень», реєстр. №4302 (далі – проект закону).

Згідно Пояснювальної записки до проекту закону:

«… законопроектом пропонується створити умови для ефективнішого використання державних ресурсів… шляхом впровадження новітніх технологій при обробці інформації…, сприятиме зміцненню співробітництва з ЄС.

Відкриття доступу до використання нових … технологій, ….. та надійних засобів захисту інформації, дозволить якісно розширити інструментарій захисту, який може використовуватися для забезпечення інформаційної безпеки держави.

…. розширення кола суб’єктів, які можуть обробляти персональні дані, володільцями яких є органи державної влади чи органи місцевого самоврядування…».

Аналіз показує, що аргументація розробників, закладена у пояснювальну записку, не відповідає тексту проекту закону, а також українському законодавству.

Стратегія розвитку інформаційного суспільства в Україні, яка схвалена розпорядженням Кабінету Міністрів України від 15 травня 2013 р. №386-р (далі - Стратегія), на яку посилаються розробники проекту закону, дійсно говорить про те, що формування сучасної інформаційної інфраструктури передбачає, зокрема «створення та застосування суперкомп’ютерних систем, зокрема на основі грід- та “хмарних” технологій».

Проте, метою реалізації Стратегії є формування сприятливих умов для розбудови інформаційного суспільства, соціально-економічного, політичного і культурного розвитку держави з ринковою економікою, що керується європейськими політичними та економічними цінностями, підвищенням якості життя громадян, створенням широких можливостей для задоволення потреб і вільного розвитку особистості, підвищенням конкурентоспроможності України, а не тільки вдосконаленням системи державного управління за допомогою інформаційно-комунікаційних технологій.

Таким чином, проект закону значно звужує можливість застосування “хмарних” технологій і не передбачає можливості їх використання, наприклад для надання доступу до суспільно необхідної інформації, створення та впровадження єдиної загальнодержавної системи електронного документообігу з використанням електронного цифрового підпису, впровадження систем електронних розрахунків за придбані товари, виконані роботи та надані послуги, реалізації проектів створення електронних наукових ресурсів з відкритим доступом тощо.

Враховуючи те, що правовою основою розроблення та реалізації Стратегії були Конституція України, що діяла у 2013 році, та Закон України “Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки”, термін дії якого закінчився, на наш погляд, запровадженням механізмів впровадження “хмарних” технологій повинен бути закладений не в проект закону, а в новий закон, що визначить подальші засади розвитку інформаційного суспільства в Україні до 2020 року та бути кореспондованим з Законом України «Про телекомунікації», що встановлює правову основу діяльності у сфері телекомунікацій, а в подальшому й проектом Закону України «Про електронні комунікації».

Таким чином будуть враховані усі завдання вирішення проблем, що перешкоджають як підвищенню ефективності використання інформаційно-комунікаційних технологій з метою підвищення якості життя громадян, забезпеченню конкурентоспроможності України, розвитку економічної, соціально-політичної, культурної та духовної сфери суспільства, так і вдосконаленню системи прийняття державних управлінських рішень, що мають комплексний характер і не можуть бути розв’язані на рівні окремих державних органів або адміністративно-територіальних одиниць.

Такий підхід також дасть можливість досягти мети Стратегії подолання бідності, схваленої розпорядженням КМУ від 16 березня 2016 року №161-р, зокрема напряму Забезпечення доступу населення до послуг соціальної сфери незалежно від місця проживання, мінімізація ризиків соціального відчуження сільського населення та виконання завдань:

- розширення сучасної мережі зв’язку з метою забезпечення якісного телефонного сполучення, доступу до Інтернету та телеефіру;

- створення спеціалізованої інформаційно-комунікаційної мережі соціального захисту для забезпечення доступу сільського населення до участі у програмах соціальної підтримки та базових послуг, гарантованих державою.

Навмисне звуження розробниками проекту Закону можливості застосування “хмарних” технологій для ІКТ–галузі та сфери телекомунікацій не відповідає цілям, закладеним у Рекомендації парламентських слухань на тему: "Законодавче забезпечення розвитку інформаційного суспільства в Україні", що схвалено постановою Верховної Ради України № 1565-VII від 3 липня 2014 року та Рекомендації парламентських слухань на тему: "Реформи галузі інформаційно-комунікаційних технологій та розвиток інформаційного простору України", що схвалено постановою Верховної Ради України № 1073-VIII від 31 березня 2016 року.

Крім того розробниками не визначено статус "хмари" - публічний чи приватний. Якщо мається на увазі публічний статус, то такий підхід не відповідатиме нормам зберігання державної інформації, приватний - на 100% має бути в управлінні держоргану.

Звертаємо увагу, що згідно з визначеннями проекту закону:

- "надавач хмарних послуг – фізична особа, у тому числі фізична особа-підприємець, юридична особа (резидент або нерезидент)…»;

- "система хмарних обчислень – система, в якій реалізується модель забезпечення дистанційного доступу …. які можуть бути оперативно надані і вивільнені, через глобальні мережі передачі даних із мінімальними управлінськими діями та/або мінімальною взаємодією з надавачем хмарних послуг";

- «…гарантії надавача хмарних послуг щодо недопущення обробки інформації в системі хмарних обчислень на територіях держав, визнаних Верховною Радою України державами-агресорами, а також держав щодо яких застосовані санкції відповідно до Закону України "Про санкції";

-«Якщо інше не передбачено договором, надавач хмарних послуг може залучати третіх осіб до виконання своїх зобов’язань за договором, який укладається із володільцем інформації або власником системи»;

- «Інформація, у тому числі інформація з обмеженим доступом (крім інформації, яка в установленому порядку віднесена до державної таємниці), якою володіють органи державної влади, …. державні підприємства, установи та організації може оброблятися в системі хмарних обчислень на підставі договору, укладеного між надавачем хмарних послуг та володільцем інформації або власником системи».

Таким чином розробники проекту закону дозволяють нерезидентам надавати хмарні послуги та обробляти інформацію, зберігати та робити інші дії за межами України, у тому числі з інформацію з обмеженим доступом!?

Одже державні органи втратять контроль за акумулюванням та зберіганням в так званих «хмарах» персональної інформації і стануть лише виконавцями-статистами, що наповнюють даними електронні бази і передають їх на відкуп третім особам, які не несуть відповідальність за їх збереження, автентичність та інші важливі властивості інформації;

Створюються серйозні загрози безпеці та захисту персональних даних, особистої власності громадян України та їх ідентифікації, інформаційній безпеці та кібербезпеці, як складових національної безпеки України.

Такій підхід не відповідає вимогам Стратегії національної безпеки України, затвердженої Указом Президента України від 26 травня 2015 року №287/2015, яка підкреслила відсутність ефективних зовнішніх гарантій безпеки України.

Новації нададуть можливість продовжити відтік коштів за кордон через нерезидентів, посилять надмірну залежність національної економіки від зовнішніх впливів, не створять цілісної комунікативної політики держави, посилять уразливість об'єктів критичної інфраструктури, державних інформаційних ресурсів до кібератак, не дадуть поштовху для подальшого розвитку інформаційної інфраструктури держави, а забезпечать прибутки закордонним дата-центрам, взагалі передадуть інформацію невідомим «третім особам»  тощо.

Звертаємо увагу, що проектом Закону визначається, що єдиним документом на передачу інформації, у тому числі інформації з обмеженим доступом, що буде оброблятися в системі хмарних обчислень, буде «договір, укладений між надавачем хмарних послуг та володільцем інформації або власником системи».

При цьому, «належний рівень захисту інформації в системі хмарних обчислень підтверджується наявністю дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, вимогам стандарту ISO/IEC 27001 або ДСТУ ISO/IEC 27001, або інших стандартів, якими їх замінено, виданого національним чи іноземним органом або організацією з оцінки відповідності, акредитованими національним органом України з акредитації або іноземним органом з акредитації».

Такій підхід порушує принцип нейтральності технологій, так як в законі вказано конкретні стандарти, а не здійснено посилання на чинне законодавство щодо захисту державних ресурсів та інформації.

Згідно частини другої статті 23 Закону України «Про стандартизацію» національні стандарти застосовуються на добровільній основі, крім випадків, якщо обов’язковість їх застосування встановлена нормативно-правовими актами. Частиною другою статті 23 цього Закону встановлено, що Національний орган стандартизації забезпечує розміщення на офіційному веб-сайті текстів національних стандартів, обов’язковість застосування яких установлена нормативно-правовими актами, не пізніше ніж через 30 календарних днів з дня офіційного опублікування таких актів з безоплатним доступом до зазначених національних стандартів.

Згідно статті 15 Господарського кодексу України застосування стандартів є обов'язковим для суб'єктів господарювання, якщо обов’язковість застосування стандартів установлено нормативно-правовими актами.

Згідно з вимогами пункту 5 частини першої статті 15 Закону України «Про телекомунікації» до повноважень центрального органу виконавчої влади в галузі зв'язку (ЦОВЗ) віднесено впровадження технічної політики у сфері надання телекомунікаційних послуг, стандартизації, підтвердження відповідності технічних засобів телекомунікацій.

На наш погляд, розробники новацій створюють нові колізії українського законодавства, які в разі прийняття проекту закону працювати не будуть та позбавляють ЦОВЗ можливості виконувати визначені законодавством завдання.

Крім того, надання повноважень іноземним органом з акредитації видавати сертифікат, що підтверджує відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, у тому числі інформації з обмеженим доступом, суперечить законодавству України про захист інформації та створить загрози забезпеченню кібербезпеки України як стану захищеності життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі, визначені Стратегією кібербезпеки України, що введена в дію Указом Президента України від 15 березня 2016 року №96/2016.

Проект закону не встановлює відповідальності "надавача хмарних послу» за розміщену державну інформацію, що створює загрозу національній безпеці і можливу втрату державності як такої в разі зникнення даних про ідентифікацію та інших даних і станів громадянина, а також даних щодо власності.

Враховуючи вищезазначене вважаємо, що проект закону не відповідає національним інтересам України та створює загрозу національній безпеці України.

Пропонуємо повернути проект закону суб’єкту права законодавчої ініціативи без його включення до порядку денного сесії та розгляду на пленарному засіданні Верховної Ради.

 

 

 

З повагою,

 

 

Голова Правління

Інтернет Асоціації України                                               О.Федієнко

 

 

 

 

 

Віце-президент УСПП,

Голова Комісії з питань науки та ІТ                                 І.Пєтухов