Картка проєкту
Розробник проєкту постанови: Адміністрація Державної служби спеціального зв’язку та захисту інформації України | Мета проєкту – визначення та затвердження на законодавчому рівні можливості легально тестувати інформаційні системи на наявність вразливостей | Проєкт постанови надіслано відповідно до § 372 Регламенту Кабінету Міністрів України |
Резюме антикорупційної експертизи
За результатами проведення антикорупційної експертизи Національне агентство ідентифікувало у проєкті постанови корупціогенні фактори, зокрема: не встановлено підстав та умов визначення координатора під час проведення пошуку та виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж; не визначено строків та порядку вчинення запропонованих дій учасників пошуку та виявлення зазначених вразливостей.Опис виявленого корупціогенного фактора
1. Неналежне визначення змісту й обсягу прав чи обов’язків фізичних (юридичних) осіб 1.1. У проєкті постанови пропонується затвердити Порядок пошуку та виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі – проєкт Порядку). Проєкт Порядку визначає процедуру організації та проведення пошуку і виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж на підставі публічної пропозиції. Відповідно до п. 2 проєкту Порядку дослідник – фізична або юридична особа, яка діє відповідно до вимог Порядку та, знайшовши потенційну вразливість, має повідомити про неї власника системи згідно з умовами публічної пропозиції. Власник (володілець) системи – фізична або юридична особа, якій належить право власності на систему або до повноважень і функцій якої належить функція технічного адміністратора системи. В абз. 1 п. 3 проєкту Порядку визначено, що цей Порядок є обов’язковим для державних органів, органів місцевого самоврядування, державних і комунальних підприємств, організацій та установ, у статутному капіталі яких більше ніж 50 відсотків акцій (часток) належить державі, територіальній громаді, які прийняли рішення про необхідність проведення пошуку та виявлення потенційних вразливостей їх інформаційних (автоматизованих), електронних, комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж на підставі публічної пропозиції. Отже, перелік суб’єктів, які згідно із проєктом Порядку виступатимуть «власниками системи», є дуже широким. Відповідно до п. 4 проєкту Порядку «власник системи, який прийняв рішення про проведення пошуку та виявлення потенційних вразливостей своїх систем на підставі публічної пропозиції, публікує на офіційному вебсайті таку публічну пропозицію. Розробка та оприлюднення публічної пропозиції можуть бути доручені власником системи координатору на підставі окремого договору». В абз. 7 п. 2 проєкту Порядку зазначено, що координатор – залучена власником системи непідконтрольна та непідпорядкована йому фізична або юридична особа, яка за дорученням власника системи оприлюднює публічну пропозицію та виконує інші пов’язані з цим дії, роз’яснює дослідникам положення цього Порядку та координує процес розкриття вразливостей, у тому числі у співпраці з іншими координаторами, бере участь у вирішенні спірних ситуацій тощо. Однак положення проєкту Порядку не визначають підстав залучення такого координатора. Це може зумовити прийняття власником системи необґрунтованих та суб’єктивних рішень. Застосоване формулювання «можуть бути доручені» наділяє власника системи дискреційними повноваженнями при прийнятті рішення щодо самостійної розробки та оприлюднення публічної пропозиції або залучення для цих завдань координатора. Окрім цього, проєкт Порядку не містить положень щодо процедури визначення координатора (відкритий конкурс, публічні закупівлі тощо). Не передбачено у проєкті Порядку і вимог до координатора, а отже, його функції може виконувати будь-яка фізична та юридична особа. Такий підхід ініціатора проєкту є необґрунтованим та обумовить зловживання власника системи при визначенні координатора. У проєкті Порядку відсутні положення щодо платності чи безоплатності договірних відносин власника системи та координатора. Також проєкт Порядку і супровідні документи не містять обґрунтування щодо необхідності функціонування координатора загалом. З огляду на відсутність до нього будь-яких вимог, завдання координатора, наприклад в органах державної влади, можуть якісно виконувати відповідні структурні підрозділи. Зважаючи на відсутність механізмів контролю, окремі із завдань, визначених проєктом Порядку, зокрема можливість здійснення власником системи матеріальної або грошової винагороди досліднику через координатора (п. 14 ), зумовлять зловживання під час використання бюджетних коштів. Рекомендації НАЗК: визначити у проєкті Порядку:- вичерпні підстави для залучення координатора;
- порядок та умови визначення координатора, в тому числі вимоги до нього;
- механізм здійснення винагороди досліднику.
Висновок:
проєкт постанови містить корупціогенний фактор та потребує доопрацювання з урахуванням наданих рекомендацій. Голова Національного агентства з питань запобігання корупції Олександр НОВІКОВ