Верховна Рада після скасування заборони на обробку інформації з державною таємницею за кордоном все ж уточнила, що мають дотримуватися вимоги законодавства

Президент Володимир Зеленський 26 червня підписав закон №3783-IX, який вносить зміни до закону про хмарні послуги (законопроект 11143). Відповідно до цих змін Міноборони та ЗСУ можуть обробляти інформацію у воєнній і оборонній сферах, у тому числі службову інформацію та інформацію, що становить державну таємницю, за допомогою хмарних ресурсів чи центрів обробки даних, що розміщені за кордоном, з дотриманням вимог законодавства.

Що передувало

Як раніше писала «Судово-юридична газета», нещодавно Верховна Рада дозволила обробку інформації, яка містить державну таємницю України, за кордоном. Відповідні зміни були внесені до закону про хмарні послуги законом про цифровізацію військового обліку 3549-ІХ, який набув чинності 4 квітня (законопроект 10062).

Так, до 4 квітня 2024 року відповідна стаття 11 закону про хмарні послуги встановлювала чітку заборону на обробку інформації, що становить державну таємницю, службової інформації, державних та єдиних реєстрів, створення та забезпечення функціонування яких встановлено законом, за допомогою хмарних ресурсів чи центрів обробки даних, що розміщені за кордоном. 

Змінами від 4 квітня це правило було фактично скасоване.

Так, ця заборона на обробку інформації з державною таємницею тепер не поширюється на обробку інформації за допомогою хмарних ресурсів чи центрів обробки даних, що розміщені за кордоном, в інформаційних, інформаційно-комунікаційних, електронних комунікаційних системах, власником (держателем, розробником) яких є Міністерство оборони, ЗСУ та інші військові формування.

Отже, якщо держателем реєстру є Міноборони – наприклад, Міноборони є держателем Реєстру військовозобов’язаних «Оберіг», де є широкий спектр даних про українських громадян, то обробка цієї інформації може з 4 квітня здійснюватися за кордоном.

Наступним реченням в законі йдеться про те, що обробка такої інформації може здійснюватися виключно на території держав-членів НАТО на підставі спільного рішення Міноборони та Генерального штабу ЗСУ. Також про цей факт мають повідомити Комітет Верховної Ради з питань нацбезпеки.

Таким чином, обробка інформації, яка містить державну таємницю, в електронних системах, власником чи держателем чи розробником яких є Міноборони, може здійснюватися за кордоном за допомогою хмарних ресурсів чи центрів обробки даних, які розміщені на території держав-членів НАТО.

Нагадаємо, як раніше писала «Судово-юридична газета», при обговоренні законопроекту 10062 народний депутат від «Голосу» Олександра Устінова зазначала, що дані Реєстру призовників, військовослужбовців та резервістів будуть зберігатися у «хмарному» сховищі на серверах за кордоном. На це іноземні партнери виділять 100 млн доларів США.

Відповідні зміни викликали чимало критики. Зокрема секретар Комітету Верховної Ради з питань національної безпеки Роман Костенко вказував, що «не можна розміщувати таємну і цілком таємну інформацію на серверах за кордоном, тим більше системи бойового управління під час війни».

В свою чергу, заступниця міністра оборони з питань цифровізації Катерина Черногоренко у інтерв'ю АрміяInform, коментуючи закон про цифровізацію військового обліку і модернізацію Реєстру «Оберіг», пояснила, що зберігання даних за кордоном не несе у собі жодних ризиків для громадян: «Далі — особлива наша мрія: всі військові системи зможуть розгортатись у «хмарі» за кордоном. Це дає можливість захищати разом з партнерами простір, де є ці системи, уникнути кінетичного знищення тощо».

Що змінили

Втім, депутати вирішили все ж уточнити цю норму.

Так, відповідно до змін, внесених підписаним 26 червня законом №3783-IX, у період дії воєнного стану Міністерство оборони України та ЗСУ можуть обробляти інформацію у воєнній і оборонній сферах, у тому числі службову інформацію та інформацію, що становить державну таємницю, в інформаційних, інформаційно-комунікаційних, електронних комунікаційних системах, власником (держателем, розпорядником) яких є Міністерство оборони України чи ЗСУ, за допомогою хмарних ресурсів чи центрів обробки даних, що розміщені за кордоном, з дотриманням вимог законодавства у сфері охорони службової інформації та державної таємниці.

Отже, депутати додали норму про те, що при обробці інформації з державною таємницею за кордоном мають бути дотримані вимоги «законодавства у сфері охорони службової інформації та державної таємниці».

При цьому зі статті 11 закону про хмарні послуги прибрали згадку про те, що така інформація може оброблятися виключно на території держав-членів НАТО, залишивши загальну норму «за кордоном» (звісно, за виключенням рф).

Також прибрали згадку про те, підставою для такої обробки за кордоном має бути спільне рішення Міноборони та Генштабу ЗСУ і про те, що це мають повідомити Комітет ВР з питань нацбезпеки.

Як реалізує Кабмін

Надалі, як писала «Судово-юридична газета», Кабмін ухвалив постанови, які стосуються особливостей захисту державних інформаційних ресурсів та інформації з обмеженим доступом, які використовуються Міноборони та ЗСУ.

Так, постановою від 18 червня №719 Уряд встановив, що не потрібно буде проходити додаткові процедури із підтвердження відповідності за правилами України для використання Міноборони інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем і програмних засобів, засобів технічного захисту інформації, засобів криптографічного захисту інформації зі США, Канади, Німеччини, Польщі, Франції, Великої Британії, Естонії, Латвії, Литви, Фінляндії, Данії, Норвегії, Нідерландів, Іспанії, Італії, Греції, Словенії, Австралії, Португалії, Швеції, Люксембургу, Бельгії та Румунії.

А саме, для використання Міноборони та ЗСУ систем і засобів з вказаних країн достатньо документів про відповідність таких систем і засобів вимогам зазначених держав і не потрібно проведення додаткових процедур підтвердження відповідності в Україні.

Також Уряд установив, що дозволяється надання на ринку і введення в експлуатацію систем та засобів криптографічного захисту інформації з вказаного переліку країн, без застосування положень Технічного регламенту засобів криптографічного захисту інформації (який було затверджено постановою КМУ №991).

Як відомо, всі інформаційні системи, вимоги до захисту яких закріплені в законодавстві України, мають бути захищені за чинними стандартами.

Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

Відповідно до статті 8 Закону «Про захист інформації в інформаційно-комунікаційних системах» підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.

Однак, судячи з цієї постанови Кабміну, на системи і засоби захисту інформації з США та інших країн, вимоги стосовно підтвердження відповідності, встановлені українським законом, можуть не розповсюджуватися.

Крім того, Кабмін постановою від 21 червня 2024 р. №737 затвердив порядок реалізації експериментального проекту із захисту та обробки інформації в інформаційно-комунікаційній системі управління логістичним забезпеченням. Реалізація експериментального проекту може здійснюватися за рахунок коштів міжнародної допомоги. Зокрема, «з метою уникнення потенційного завищення ступеня обмеження доступу до інформації» розмежування доступу до інформації в інформаційній системі буде здійснюватися апаратними та/або програмними засобами. Перелік інформації, що підлягає обробці та потребує захисту в інформаційній системі, формується на підставі відомостей щодо проведеного розмежування доступу до інформації.

Які зауваження мають у Комітеті

Слід зазначити, що певну критику постанови Кабміну №719 висловив член Комітету ВР з нацбезпеки Олександр Федієнко.

«Якщо казати дуже простою мовою, у цій постанові дозволяється конкретним країнам, які визначені у постанові, постачати на територію України технічні засоби криптографічного складу для того, щоб вони працювали у відповідних державних інституціях.

Якщо казати ще більш простою мовою, то, наприклад, є якась інформація, яка передається через якийсь модуль, блок, тощо, який шифрує цю інформацію.

Далі інший блок декодує, десь береться ключ, за допомогою якого інший блок це декодує тобто, розшифровує.

Звісно, вся ця інформація, яка передається за допомогою цих механізмів, належить Україні, та скоріш за все є цілком таємною або таємною, а тепер увага.

Методи, механізми, тощо, які шифрують цю інформацію, не належить Україні. Ключі, за допомогою яких відбувається розшифрування, теж не належить Україні.

Це призведе до суттєвих негативних наслідків для системи криптографічного захисту інформації, репутаційних наслідків, втрати інформації на користь інших країн» - зазначив Федієнко.

Також він зауважив, що системи управління криптографічними ключами, особливо засоби генерації ключів (алгоритми генерації, порядок використання ключів, програмні або апаратні методи реалізації, принципи побудови, методи знищення тощо) самі по собі є державною таємницею з грифом «цілком таємно» або особливою важливості (TOP SECRET, CATASTROPHIC SECRET). Відповідно до законодавства всіх країн вони не підлягають постачанню як носій державної таємниці.

«Звертаю увагу щодо переліку. Україна не має адміністративних домовленостей з цими країнами щодо охорони держаної таємниці.

Такі кейси можуть увійти у книжки. Таким чином, ця постанова формує умови, в яких в Україну для МОУ та ЗСУ будуть постачатися тільки засоби КЗІ, без систем управління ключами. Управління ключами буду здійснюватися країною-постачальником засобів КЗІ, в більшості випадках віддалено.

Висновок: політичне рішення створює умови постачання засобів криптографічного захисту інформації, які не відповідають рівням гарантій щодо захисту державної таємниці, утворює умови залежності від третіх країн щодо постачання ключових документів та передачу контролю над потоками інформації в мережах МОУ та ЗСУ третім країнам, що, як наслідок, приводить до підвищення ризиків національної безпеки України» - підкреслив член Комітету.

Автор: Наталя Мамченко 

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.