Картка проєкту
|
Розробник проєкту постанови: Адміністрація Державної служби спеціального зв’язку та захисту інформації України |
Мета проєкту – встановлення єдиного підходу до оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси, службова інформація, державна таємниця, а також функціонують об’єкти критичної інфраструктури (далі – об’єкти оцінювання) |
Проєкт постанови надіслано відповідно до § 372 Регламенту Кабінету Міністрів України |
Резюме антикорупційної експертизи
За результатами проведення антикорупційної експертизи Національне агентство виявило корупціогенні фактори, які можуть зумовити ризик зловживань суб’єктами оцінювання та/або власниками / розпорядниками об’єктів оцінювання під час здійснення оцінювання стану кіберзахисту, а також можуть сприяти наділенню Адміністрації Держспецзв’язку надмірними дискреційними повноваженнями під час здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Опис виявлених корупціогенних факторів
- Нечітка, з порушенням принципу юридичної визначеності, регламентація прав, обов’язків чи відповідальності юридичних та фізичних осіб у будь-якій сфері правового регулювання
1.1. Проєктом постанови Кабінету Міністрів України «Про затвердження Порядку оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури» (далі – проєкт постанови) пропонується затвердити Порядок оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури (далі – проєкт Порядку).
Відповідно до п. 1 проєкту Порядку цей Порядок, зокрема, визначає мету, види, підстави проведення, загальні вимоги до проведення, оформлення та порядку використання результатів оцінювання стану кіберзахисту об’єктів оцінювання, власниками або розпорядниками яких є органи державної влади, державні органи, органи місцевого самоврядування, підприємства, установи, організації.
У п. 9 проєкту Порядку встановлено види оцінювання. Разом з тим п. 8 проєкту Порядку передбачено, що порядок проведення оцінювання визначається залежно від виду оцінювання.
Згідно з п. 4 проєкту Порядку оригінальні примірники звітів про оцінювання, оформлених за встановленою Адміністрацією Держспецзв’язку уніфікованою формою, здійснені відповідно до цього Порядку, зберігаються у суб’єктів оцінювання, а також в органах державної влади, державних органах, органах місцевого самоврядування, підприємствах, установах, організаціях, що є власниками або розпорядниками об’єктів оцінювання, протягом трьох років.
Однак проєктом Порядку не встановлено вимоги складання звіту за результатами кожного виду оцінювання, не врегульовано процедури підготовки звіту за результатами оцінюванням та порядку інформування про проведення оцінювання. Також проєктом Порядку не передбачено ані прямих, ані бланкетних норм до інших нормативно-правових актів, спрямованих на регулювання процедури оформлення результатів оцінювання залежно від виду оцінювання, що передбачені проєктом Порядку.
Окремо слід звернути увагу, що згідно з п. 14 проєкту Порядку результати самооцінювання використовуються для цілей здійснення моніторингу стану кіберзахисту як однієї з форм заходів державного контролю за дотриманням вимог законодавства у сфері кіберзахисту.
З огляду на те, що результати проведення оцінювання відповідно до цього Порядку враховуються під час здійснення заходів державного контролю за дотриманням вимог законодавства у сфері кіберзахисту, відсутність визначення порядку складання звітів за результатами оцінювання порушує принцип правової визначеності.
Зазначене ускладнює практичну реалізацію положень проєкту Порядку, що може призвести як до різного правозастосування норм суб’єктами оцінювання та/або власниками / розпорядниками об’єктів оцінювання, так і до наділення надмірними дискреційними повноваженнями службових / посадових осіб Адміністрації Держспецзв’язку під час здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Рекомендація НАЗК:
доопрацювати проєкт Порядку з урахуванням зазначених зауважень.
1.2. Відповідно до п. 10 проєкту Порядку проведення оцінювання реалізації профілів безпеки з метою авторизації систем здійснюється суб’єктами оцінювання, інформація про яких внесена до електронного каталогу суб’єктів оцінювання стану кіберзахисту, та проводиться з урахуванням особливостей, визначених Порядком авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженим постановою Кабінету Міністрів України від 18.06.2025 № 712 (Офіційний вісник України, 2025 р., № 57, ст. 3921), відповідно до методології щодо здійснення оцінювання дотримання вимог цільових профілів безпеки системи, що здійснюється з метою авторизації з безпеки систем.
Разом з тим п. 16 проєкту Порядку передбачено, що строки проведення самооцінювання поточного стану кіберзахисту, оформлення результатів самооцінювання, критерії для визначення рівня стану кіберзахисту за результатами самооцінювання, а також рекомендації щодо усунення недоліків визначаються методологією проведення оцінювання.
Крім того, абз. 2 п. 19 проєкту Порядку, зокрема, передбачено, що у разі виявлення у встановленому законодавством порядку щодо об’єкта оцінювання кіберінциденту, органи державної влади, державні органи, органи місцевого самоврядування, підприємства, установи та організації, відповідно до методології проведення оцінювання для цього виду оцінювання, зобов’язані провести позапланове оцінювання поточного стану кіберзахисту щодо об’єктів оцінювання, щодо яких відбувся кіберінцидент, протягом трьох місяців з дати надання відповідним CSIRT за результатами реагування на кіберінцидент своїх рекомендацій.
Враховуючи запропоновані норми, проєкт Порядку передбачає використання методології під час проведення оцінювання.
При цьому абз. 3 п. 2 проєкту Порядку містить визначення поняття методології проведення оцінювання, проте вказана норма не визначає суб’єкта розробки та затвердження такої методології.
Таким чином, використання в проєкті Порядку різних назв методології без уточнення / визначення суб’єкта її затвердження разом із вимогою дотримання такої методології під час оцінювання створює передумови для маніпулювання вимогами оцінювання суб’єктами оцінювання та/або власниками / розпорядниками об’єктів оцінювання, що сприятиме побудові непрозорої процедури оцінювання. Зазначене не сприятиме забезпеченню єдності правозастосування та передбачуваного правового регулювання у цій сфері, що може стати передумовою для поширення корупційних практик.
Рекомендація НАЗК:
доопрацювати проєкт Порядку з урахуванням зазначених зауважень.
1.3. У п. 24 проєкту Порядку визначено підстави для проведення оцінювання (оцінки) стану захищеності:
1) внесення об’єкта оцінювання до плану проведення оцінювання (оцінки) стану захищеності в органах державної влади, державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності (планове оцінювання стану захищеності), що затверджується Адміністрацією Держспецзв’язку та оприлюднюється на офіційному веб-сайті Держспецзв’язку;
2) за зверненням органу державної влади, державного органу, органу місцевого самоврядування, підприємства, установи, організації, що є власниками або розпорядниками об’єктів оцінювання (позапланове оцінювання стану захищеності), та прийняттям відповідного рішення про проведення такого оцінювання стану захищеності Головою Державної служби спеціального зв’язку та захисту інформації або його заступником згідно з функціональним розподілом обов’язків.
В абз. 1 п. 25 проєкту Порядку передбачено, що оцінювання (оцінка) стану захищеності в органах державної влади, державних органах, органах місцевого самоврядування, підприємствах, установах та організаціях щодо об’єктів оцінювання здійснюється Державним центром кіберзахисту Держспецзв’язку.
Водночас відповідно до абз. 2 п. 25 оцінювання (оцінки) стану захищеності мають право здійснювати посадові особи, працівники органів державної влади, державних органів, органів місцевого самоврядування, підприємств, установ, організацій, що є власниками або розпорядниками об’єктів оцінювання та відповідають вимогам до оцінювачів для такого виду оцінювання.
Отже, проєкт Порядку не визначає співвідношення підстав, за яких суб’єкти оцінювання, визначені в абз. 1 та абз. 2 п. 25 проєкту Порядку, мають право здійснювати оцінювання стану захищеності об’єктів оцінювання в органах державної влади, державних органах, органах місцевого самоврядування, підприємствах, установах, організаціях.
Таким чином, п. 25 проєкту Порядку сформульований без дотримання принципу правової визначеності, що може призвести до прийняття неузгоджених рішень, вибіркового застосування положень проєкту Порядку та, відповідно, створює передумови для вчинення корупційних правопорушень або правопорушень, пов’язаних з корупцією.
Рекомендація НАЗК:
доопрацювати п. 25 проєкту Порядку з урахуванням зазначених зауважень.
- Використання правових конструкцій оціночного характеру та слів, які допускають невичерпність регулювання
У п. 22 проєкту Порядку передбачено, що оцінювання на відповідність національним стандартам здійснюється на підставі відповідної угоди з суб’єктом оцінювання, інформація про якого розміщена в електронному каталозі суб’єктів оцінювання стану кіберзахисту для такого виду оцінювання, за методологією проведення оцінювання, а також згідно з вимогами національного стандарту, відповідність якого підтверджується.
Водночас варто зазначити, що формулювання «відповідної угоди» та відсутність визначення такого поняття у проєкті Порядку надає змогу застосовувати різні суб’єктивні підходи під час практичної реалізації зазначеного положення.
Таким чином, наявність у проєкті Порядку конструкцій оціночного характеру порушує принцип юридичної визначеності та може створити умови для невичерпного тлумачення його положень і, як наслідок, неоднакового застосування під час здійснення оцінювання об’єктів оцінювання на відповідність національним стандартам з метою отримання сертифіката відповідності стандарту інформаційної безпеки.
Рекомендація НАЗК:
доопрацювати п. 22 проєкту Порядку з урахуванням зазначених зауважень.
Висновок:
проєкт Порядку містить корупціогенні фактори та потребує доопрацювання з урахуванням наданих рекомендацій.
В.о. Голови Національного агентства
з питань запобігання корупції Сергій ГУПЯК
