Картка проєкту
|
Розробник проєкту постанови: Державна служба спеціального зв’язку та захисту інформації України |
Мета проєкту – встановлення єдиного механізму здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту, що забезпечить належний рівень реалізації вимог законодавства щодо захисту інформації, у тому числі державних інформаційних ресурсів, інформації з обмеженим доступом, а також інформації, що обробляється в інформаційно-комунікаційних системах, у тому числі на об’єктах критичної інфраструктури, з урахуванням єдиного підходу до оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси, службова інформація, державна таємниця, а також функціонують об’єкти критичної інфраструктури |
Проєкт постанови надіслано відповідно до § 372 Регламенту Кабінету Міністрів України |
Резюме антикорупційної експертизи
За результатами проведення антикорупційної експертизи Національне агентство виявило корупціогенні фактори, які зумовлюють ризик зловживань під час здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Опис виявленого корупціогенного фактору
- Юридична колізія в законодавстві: суперечність між різними положеннями одного й того самого нормативно-правового акта або між положеннями різних нормативно-правових актів однакової юридичної сили у вирішенні одного й того самого питання, що допускає різне тлумачення норм
У проєкті постанови Кабінету Міністрів України «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту» (далі – проєкт постанови) пропонується затвердити Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту (далі – проєкт Порядку).
Відповідно до п. 15 проєкту Порядку перевірки проводяться у формі планових або позапланових перевірок. Строк проведення перевірки в органах державної та судової влади, державних органах, органах місцевого самоврядування, військових формуваннях, утворених відповідно до законів України, підприємствах, установах, організаціях державної та комунальної форми власності (крім банків, інших установ, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України) не може перевищувати чотирнадцяти робочих днів. Для всіх інших суб’єктів державного контролю строк проведення перевірки не може перевищувати десяти робочих днів.
Перевірка є заходом державного контролю за додержанням вимог законодавства у сфері кіберзахисту, що здійснюється комісією, яка складається із посадових осіб Адміністрації Держспецзвʼязку та/або її територіальних органів. В рамках підготовки до перевірки Адміністрація Держспецзвʼязку та/або її територіальний орган має право запитувати звіти про проведення суб’єктом державного контролю оцінювання стану кіберзахисту та інформацію, що стосуються предмету перевірки (абз. 1 п. 14 проєкту Порядку).
Разом з тим відповідно до п. 3 проєкту Порядку субʼєктами державного контролю за додержанням вимог законодавства у сфері кіберзахисту є органи державної влади, державні органи, органи місцевого самоврядування, військові формування, утворені відповідно до законів України, підприємства, установи, організації, які є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація, вимога щодо захисту якої встановлена законом, обʼєктів критичної інфраструктури, обʼєктів критичної інформаційної інфраструктури (крім банків, інших осіб, установ, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України).
Зазначене зумовлює невідповідність між різними положеннями проєкту Порядку.
З огляду на те, що перевірка є заходом державного контролю за додержанням вимог законодавства у сфері кіберзахисту, перелік суб’єктів державного контролю повинен відповідати переліку суб’єктів, стосовно яких здійснюється перевірка.
Так, зазначена вище неузгодженість зумовлює можливість різного тлумачення та вибіркового застосування положень проєкту Порядку, запроваджуючи непрозорий механізм визначення суб’єктів, щодо яких здійснюється перевірка, що, своєю чергою, сприяє поширенню корупційних практик.
Рекомендація НАЗК:
доопрацювати проєкт Порядку з урахуванням зазначених зауважень.
- Встановлення або розширення дискреційних повноважень органу державної влади чи органу місцевого самоврядування або особи, уповноваженої на виконання функцій держави чи місцевого самоврядування, за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку здійснення таких повноважень, контролю за їх здійсненням та відповідальності за можливі зловживання під час їх здійснення
Відповідно до абз. 1 п. 8 проєкту Порядку субʼєкти державного контролю для цілей здійснення моніторингу стану кіберзахисту здійснюють планове оцінювання стану кіберзахисту (оцінювання дотримання вимог цільових профілів безпеки системи, самооцінювання та/або зовнішнє оцінювання стану кіберзахисту) щорічно та інформують Адміністрацію Держспецзвʼязку або її відповідний територіальний орган про здійснення такого оцінювання в строк не пізніше 30 календарних днів з дати його завершення.
Згідно з п. 9 проєкту Порядку перше оцінювання стану кіберзахисту для цілей здійснення моніторингу здійснюється протягом дванадцяти календарних місяців з дати набрання чинності цього Порядку.
Водночас запропонована редакція проєкту Порядку не розкриває змісту правових конструкцій «планове оцінювання стану кіберзахисту», «перше оцінювання стану кіберзахисту», які за відсутності уточнення порушують принцип правової визначеності, що не сприяє чіткості та передбачуваності правового регулювання у відповідній сфері.
Разом з тим перераховані види оцінювання, зазначені до планового оцінювання стану кіберзахисту, не дають змоги чітко визначити види оцінювання, які мають проводитись обов’язково для цілей здійснення моніторингу стану кіберзахисту.
Також положеннями проєкту Порядку не передбачено ні прямих, ні бланкетних норм до інших нормативно-правових актів, спрямованих на регулювання цього питання.
Ураховуючи, зокрема, п. 13 проєкту Порядку, Адміністрація Держспецзвʼязку здійснює постійний моніторинг стану виконання суб’єктами державного контролю вимог стосовно оцінювання стану кіберзахисту та, у разі необхідності, може письмово витребувати у суб’єктів державного контролю інформацію, що підтверджуватиме фактичний стан їх виконання.
Відповідно, нечіткість порядку здійснення моніторингу стану кіберзахисту сприяє наділенню посадових / службових осіб Адміністрації Держспецзв’язку надмірними дискреційними повноваженнями під час здійснення моніторингу стану виконання суб’єктами державного контролю вимог стосовно оцінювання стану кіберзахисту.
Таким чином, наявність вказаних обставин створює передумови для вчинення корупційних правопорушень або правопорушень, пов’язаних із корупцією.
Рекомендація НАЗК:
доопрацювати проєкт Порядку з урахуванням зазначених зауважень.
- Використання правових конструкцій оціночного характеру та слів, які допускають невичерпність регулювання
Відповідно до п. 1 проєкту Порядку цей Порядок визначає заходи державного контролю за додержанням вимог законодавства у сфері кіберзахисту, порядок їх здійснення, права та обовʼязки під час здійснення такого державного контролю, а також вимоги до оформлення результатів здійснення заходу державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Разом з тим абз. 1 п. 5 проєкту Порядку передбачає, що державний контроль за додержанням вимог законодавства у сфері кіберзахисту здійснюється Адміністрацією Держспецзв’язку та її територіальними органами шляхом проведення заходів контролю, зокрема у формі моніторингу стану кіберзахисту та перевірок, метою яких є аналіз стану додержання вимог законодавства в сфері кіберзахисту, виявлення недоліків або порушень вимог законодавства у сфері кіберзахисту, надання рекомендацій і вимог щодо усунення таких порушень та запобігання таким порушенням у майбутньому.
Водночас проєкт Порядку регулює виключно порядок проведення моніторингу стану кіберзахисту та проведення перевірки і не передбачає положень, що регламентують здійснення інших заходів контролю. До того ж використання оціночного формулювання «зокрема» передбачає можливість застосування інших заходів контролю, які не передбачені проєктом Порядку, тобто сприятиме застосуванню різних суб’єктивних підходів під час практичної реалізації зазначеного положення.
Використання правових конструкцій оціночного характеру порушує принцип правової визначеності та зумовлює ризик довільного й упередженого правозастосування положень під час визначення і здійснення Адміністрацією Держспецзв’язку та її територіальними органами заходів контролю за додержанням вимог законодавства у сфері кіберзахисту.
Рекомендація НАЗК:
доопрацювати проєкт Порядку з урахуванням зазначених зауважень.
Висновок:
проєкт Порядку містить корупціогенні фактори та потребує доопрацювання з урахуванням наданих рекомендацій.
В.о. Голови Національного агентства
з питань запобігання корупції Сергій ГУПЯК
