В Госспецсвязи решили немного заработать
Администрация государственной службы специальной связи и защиты информации Украины (Госспецсвязи) разработала законопроект "О криптографической и технической защите информации". Согласно документу, субъектам хозяйствования в сфере КЗИ и ТЗИ придется получать их разрешение на осуществление деятельности.
Законопроект "О криптографической и технической защите информации" был разработан Госспецсвязи по поручению Вице-премьер-министра - Министра регионального развития, строительства и жилищно-коммунального хозяйства Украины Геннадия Зубка и опубликован на официальном сайте госоргана 13 октября.
В объяснительной записке к документу значится, что национальную законодательную базу в сфере защиты информации необходимо сбалансировать, а также внедрить новый, соответствующий европейской практике порядок проведения мер в этой сфере.
- Проведеним аналізом організації захисту інформації країн ЄС та НАТО з'ясовано, що в цих країнах діяльність з криптографічного та технічного захисту інформації ліцензуванню не підлягає.
Проектом Закону запроваджується новий дозвільний порядок у сфері захисту інформації, який з урахуванням вимог щодо забезпечення національної безпеки в інформаційній сфері найбільше адаптований до європейської організації таких видів робіт. Зокрема, проектом Закону передбачається заміна ліцензування господарської діяльності у галузі криптографічного та технічного захисту інформації впровадженням сертифікації виконавців робіт у сфері захисту інформаціі. Одночасно запропоновано відмовитись від здійснення державного нагляду (контролю) за додержанням умов провадження господарської діяльності у галузі криптографічного та технічного захисту інформації. Разом з цим, враховуючи вплив робіт у сфері захисту інформації на стан національної безпеки, проектом Закону пропонується запровадити механізми підвищення відповідальності суб'єктів у сфері захисту інформації за кінцеві результати проведених ними робіт.
Очікуваними результатами від прийняття проекту Закону є забезпечення належного рівня захисту інформації, покращення стану захисту інформації в Україні та упорядкування відносин між суб’єктами сфери захисту інформації.
Интересно, что во время работы над Законом Украины "О лицензировании определенных видов хозяйственной деятельности" (вступившего в действие в марте этого года) Госспецсвязи, которую тогда возглавлял Владимир Зверев, активно выступала против попыток исключить из него пункты о лицензирования деятельности в сфере КЗИ и ТЗИ. Госорган настаивал на том, что это негативно скажется на национальной безопасности, приведет к возможности допуска к работам по защите информации компании, связанные с зарубежными разведками или преступными группировками.
В результате в Комитете ВРУ по вопросам промышленной политики и предпринимательства прислушались к позиции Госсцсвязи и СБУ и оставили в Законе пункт о предоставлении услуг в сфере криптографической и технической защиты информации. В таком виде он и был поддержан на заседании Рады 2 марта.
В июле Кабинет министров Украины уволил Владимира Зверева с должности председателя Государственной службы специальной связи и защиты информации и назначил на эту должность Леонида Евдоченко. Судя по новому законопроекту, новый глава либо не разделяет позицию своего предшественника, либо "мыслит наперед". Напомним, что заключительными положениями Закона Украины «О лицензировании видов хозяйственной деятельности» установлено, что лицензирование деятельности в сфере телекоммуникаций теряет силу с 1 января 2018 года. Цитаты из документа:
Кроме этого, в определениях терминов Госспецсвязи предложила следующую трактовку понятия "обработка информации":
обробка інформації – здійснення за допомогою технічних засобів операцій з інформацією (створення, введення, збирання, записування, передавання, приймання (отримання), копіювання, перетворення, реєстрація, розмноження, дублювання, сканування (зчитування), роздрукування, зберігання, відображення (візуалізація, показ), відтворення, виготовлення (друкування) графічних і текстових документів, знищення тощо).
По сути, под это определение подпадают все операторы/провайдеры, которые в случае принятия данного законопроекта станут объектами пристального внимания Госспецсвязи. Юристы считают, что чиновники просто решили заменить понятие лицензии сертификатом.
Общественный совет при Госспецсвязи обращался к Леониду Евдоченко с рядом замечаний и предложений по законопроекту "О криптографической и технической защите информации".
Цитата из письма:
В своем ответе главе ОС Леонид Евдоченко сообщил, что в проекте закона предусмотрено предоставление права обжалования любого решения Администрации Госспецсвязи по сертификации, а реестры исполнителей работ планируется сделать общедоступными.
Полностью с письмами можно ознакомится здесь.
В последствие документ обсуждался на заседании общественного совета Госспецсвязи 5 ноября. А на внеочередном заседании 19 ноября Леонид Евдоченко сообщил, что проект закона будет рассматриваться после завершения работы над законопроектами "Об электронных коммуникациях" и "Об основных принципах обеспечения кибербезопасности", которые на данный момент являются приоритетными. Таким образом у экспертов появилось время для дискуссий и критики инициативы Госспецсвязи.
Михаил Пергаменщик, адвокат, старший юрист практики IT и медиа права Juscutum, Львовский офис:
- В проекте закона «О криптографической и технической защите информации», подготовленном Государственной службой спецсвязи и защиты информации, есть некоторые противоречия, однако ничего принципиально нового в требованиях к защите важной для государства информации в законе нет. В Украине уже давно действует система сертификации средств защиты и обязательная экспертиза систем защиты такой информации.
В проекте закона появились «исполнители работ в сфере защиты информации» и раздел о разрешительном порядке. В связи с тем, что с 01 января 2018 года любая деятельность в этой сфере не будет подлежать лицензированию, такие положения в проекте вызывают некоторые опасения, потому что заменой слова «лицензирование» словом «сертификация» деятельность в сфере разработки средств криптографической защиты сильно не облегчается.
Да, сертификат будет бесплатным, не будет проверок по выполнению лицензионных условий, но все же исполнитель будет обязан выполнять требования, установленные чиновниками Госспецсвязи. Невыполнение этих требований грозит отменой сертификата. Более того, проект закона не определяет «работы в сфере защиты информации», а требования ужесточатся, потому что на данный момент услугами в сфере технической защиты информации, предоставление которых лицензируется, является оценка защищённости информации, выявление закладных устройств. Теперь же, когда «сертификации» будут подлежать не только сами средства защиты, но также и предприятия, которые предоставляют услуги в сфере защиты информации, последние будут обязаны выполнять требования Госспецсвязи. Это не упрощает деятельность по внедрению информационных технологий, как было задумано при отмене лицензий.
Следует также обратить внимание, что проект закона касается только государственных информационных ресурсов и информации, требования к защите которой предусмотрены законодательством, а также производителей продуктов криптографической защиты, которые будут использоваться для защиты такой информации. То есть, если говорить об услугах, например, продажи программного обеспечения с криптографическими средствами защиты информации через торгово-розничную сеть, когда функции таких средств пользователь не может изменить самостоятельно, то такая деятельность не будет подпадать под действие закона.
- Законопроект "О криптографической и технической защите информации" коснется только компаний, которые работают с государственными структурами, а не рынка в целом. Там четко прописано, что ведомственный контроль осуществляется должностными лицами госоргана на объектах, где производится защита информации госорганов и учреждений, входящих в сферу его управления. То есть речь идет о сегменте рынка, услугами которого пользуются госорганы, обладающие информацией, подпадающей под понятие гостайны.Иван Петухов, вице-президент Комиссии УСПП по вопросам науки и информационных технологий:
- Законопроект "О криптографической и технической защите информации" не нов, он готовился еще при Леониде Нетудыхата. По сути он ставит Госспецсвязи над владельцами телекоммуникационных сетей, дата-центров, хостингов и т.д., так как все они подпадают под понятие "обработка информации", приведенное в этом документе.
В отличие от Закона Украины «О лицензировании видов хозяйственной деятельности», который четко определяет требования как к лицензиатам, так и органам лицензирования, предложенный законопроект позволяет Госспецсвязи в одностороннем порядке предоставлять право субъекту хозяйствования работать на рынке криптографической и технической защиты информации. По сути они хотят заменить лицензию на ограниченный по сроку действия сертификат, выдаваемый по правилам и решениям, принятыми Госспецсвязи в одностороннем и безапелляционном порядке. При таких условиях разрушаются принципы рыночных отношений в отрасли, создаются условия для монополизации рынка и роста коррупции.
Кроме того, Госспецсвязи решила прописать в законодательном порядке, что они ответственны за информацию, которая обрабатывается в СБУ, Внешней разведке, Министерстве обороны, Министерстве внутренних дел. То есть пошли путем интеграции нашей законодательной базы с законами Российской Федерации. Дух этого законопроекта далеко не европейский, как декларируется, а с точностью до наоборот.
Субъектов хозяйствования, которым уже были выданы лицензии в сфере КЗИ и ТЗИ, они хотят заставить перелицензироваться. Сомневаюсь, что все это делается с целью наведения порядка, скорее для создания и передела финансовых потоков. Считаю, что если бы они хотели сделать что-то хорошее для страны, то пригласили бы к обсуждению этого законопроекта представителей рынка и профильных общественных организаций, который имеют опыт работы в сфере КЗИ и ТЗИ.
Пока идет обсуждение, остается только надеяться, что государство наконец прекратит попытки подмены понятий, возьмет курс на дерегуляцию и создание условий для здоровой конкуренции на телеком-рынке.