ЗАХИСТ ІНФОРМАЦІЙНИХ РЕСУРСІВ. ДЕРЖАВНІ ФІНАНСИ.
У попередньому матеріалі РИЗИКИ ІТ-ЦЕНТРАЛІЗАЦІЇ СИСТЕМИ УПРАВЛІННЯ ДЕРЖАВНИМИ ФІНАНСАМИ зазначалось, що Кабінет Міністрів України розпорядженням від 10 липня 2019 р. № 594-р
- затвердив Концепцію IT-централізації системи управління державними фінансами (далі Концепція),
- визначив державне підприємство «Головний проектно-виробничий і сервісний центр комп’ютерних фінансових технологій» (ДП «Головфінтех»), що належить до сфери управління Міністерства фінансів, координатором заходів з ІТ-централізації та адміністратором інформаційних систем, баз даних, інформаційних ресурсів та реєстрів, серверного та мережевого обладнання.
Планом дій, зокрема, передбачено, що IT-функції новостворених податкової та митної служб буде повністю передано до ДП «Головфінтех» вже до кінця поточного року. До кінця березня 2020 року перейдуть IT-функції Мінфіну та Казначейства, а функції Держфінмоніторингу - до кінця червня 2020 року.
За висновками спеціалістів Служби реалізація Концепції затвердженої розпорядженням Кабінету Міністрів України має вагомі правові ризики, перелік яких було викладено у попередньому матеріалі.
Про зазначені ризики повідомлено Кабінет Міністрів України, Міністерство фінансів України, Держспецзв’язку, Службу безпеки України.
Листом від 18 вересня 2019 року Міністерство фінансів України повідомило Єдину службу правової допомоги про те, що відповідно до статті 4 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» володілець інформації визначає порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації. Також у листі зазначено, що передача ІТ-функцій від Державної митної служби та Державної податкової служби до ІТ-підприємства володілець інформації та її власник не змінюється,ІТ-підприємство відповідно до статті 3 Закону стане розпорядником системи.
З даного приводу спеціалісти Служби наголошують:
1. Концепцією, яка затверджена розпорядженням Уряду, фактично запроваджено термін «IT-функції», який не визначено жодним законом України. У відповідності до ч. 1 статті 47 закону України "Про Кабінет міністрів України" Кабінет Міністрів України на основі та на виконання Конституції і законів України, актів Президента України, постанов Верховної Ради України, прийнятих відповідно до Конституції та законів України, видає обов’язкові для виконання акти - постанови і розпорядження. Згідно ч. 3 цієї статті акти Кабінету Міністрів України з організаційно-розпорядчих та інших поточних питань видаються у формі розпоряджень Кабінету Міністрів України.
2. У своєму листі Міністерство фінансів України посилається на абз. 1 статті 4 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах». Водночас, абзацом 2 цієї статті імперативно визначено, що порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
3. Розпорядженням Уряду фактично передбачено позбавлення органів державної влади функції адміністрування інформаційних систем, відповідальність за збереження інформації в яких покладена на них у відповідності до закону. Зазначене, зокрема підтверджується, наступними пунктами плану Концепції:
- п. 13 - Передача адміністрування серверного устаткування шляхом підписання акта приймання-передачі.
- п.16 - Передача адміністрування системного програмного забезпечення шляхом підписання акта приймання-передачі.
- п. 25 - Передача адміністрування прикладних інформаційних систем, реєстрів та інших інформаційних ресурсів, які використовуються для автоматизації основної діяльності суб’єктів системи шляхом підписання акта приймання-передачі.
- п. 26 - Скорочення ІТ-функції. Повідомлення про скорочення посади/підрозділу шляхом видання наказу про скорочення посад/ підрозділів.
Висновок:
Враховуючи вищевикладене, спеціалісти Служби наголошують, що положення Концепції, затверджені розпорядженням Уряду від 10 липня 2019 р. № 594-р не можуть підміняти закони України. В даному випадку порушуються вимоги ч. 2 статті 19 Конституції України.
Інформаційні ресурси управління державними фінансами, у відповідності до Закону України «Про основні засади забезпечення кібербезпеки України», відносяться до об’єктів критичної інформаційної інфраструктури. У відповідності до п. 5 постанови КМУ від 19 червня 2019 р. №518 «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури» кіберзахист об’єкта критичної інфраструктури забезпечується власником та/або керівником об’єкта критичної інфраструктури відповідно до цих Загальних вимог та законодавства в сфері захисту інформації та кібербезпеки. Тобто, власники інформації зобов’язані нести відповідальність за кіберзахист об’єкта критичної інфраструктури, а не відокремлені структури у формі державних підприємств без визначених законом повноважень.
Відповідно до ст. 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Заходи:
Про ризики та загрози об’єкту критичної інформаційної інфраструктури, визначені законами «Про основні засади забезпечення кібербезпеки України», «Про національну безпеку України», «Про захист інформації в інформаційно-телекомунікаційних системах» та Конвенції про кіберзлочинність, Єдиною службою правової допомоги прийнято рішення повторно повідомити Кабінет Міністрів України, Міністерство фінансів України, Держспецзв’язку, Службу безпеки України.
Попередні матеріали по темі:
РИЗИКИ ІТ-ЦЕНТРАЛІЗАЦІЇ СИСТЕМИ УПРАВЛІННЯ ДЕРЖАВНИМИ ФІНАНСАМИ
ЩОДО СТАНУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЙНОЇ СИСТЕМИ «ПОДАТКОВИЙ БЛОК»
ДЕРЖСПЕЦЗВ'ЯЗКУ ВИМАГАЄ ВІД ДФС ПРИПИНИТИ ОБРОБКУ ІНФОРМАЦІЇ В ІТС «ПОДАТКОВИЙ БЛОК»
ІНФОРМУВАННЯ ЩОДО ЗАХИСТУ ІНФОРМАЦІЙНИХ РЕСУРСІВ ДФС УКРАЇНИ
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Використання будь-яких матеріалів (повне або часткове), розміщених на сайті 3222.UA, дозволяється за умови обов’язкового посилання на джерело наступного змісту: "за матеріалами інформаційного агентства "Єдина служба правової допомоги", сайт 3222.UA".
Якщо Вам необхідно отримати правову консультацію з питань, які висвітлені у даному матеріалі - телефонуйте на номер нашої гарячої лінії або відправляйте звернення на електронну адресу: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.
Вихідні дані продукції інформаційного агентства:
Назва, відомості про засновника (співзасновників): за посиланням
ПІБ відповідального за випуск: Осмоловський Д.Ю.
порядковий номер випуску і дата його виходу: 39/09-19/І від 23.09.2019 року
