ДЕРЖАВНИЙ КОМІТЕТ ЗВ'ЯЗКУ
ТА ІНФОРМАТИЗАЦІЇ УКРАЇНИ
01001 , м. Київ- 1, вул. Хрещатик,22
тел. 228-15-00 факс 228-61-41
www.stc.gov.ua e-mail:mailbox@stc. gov.ua
Голові правління
Інтернет асоціації України
О.Я. Ольшанському
м. Київ, вул. О.Гончара, 15
23.10.2002р. № 5993/19-03-15
На № 1-149 від "23" 09 2002р
Шановний Олександре Яковичу!
В Держкомзв'язку уважно розглянуто Вашого листа від 23.09.2002 №1-149 та
проаналізовано викладені в ньому зауваження.
Ми повністю поділяємо Вашу турботу про забезпечення при наданні послуг передачі
даних права громадян України на таємницю листування, гарантованого Конституцією,
Законами України та міжнародними документами і вважаємо це важливим і актуальним
завданням.
Але при цьому, на наш погляд, не меншої уваги потребують захист інформації у
мережах передачі даних і недопущення використання можливостей таких мереж у
злочинних цілях, оскільки кінцевою метою цих завдань теж є захист прав і свобод
громадян України. У цьому контексті доцільно привести деякі приклади з досвіду
інших країн та міжнародних організацій.
У 1994 року Конгрес США прийняв "Акт про підтримку правоохоронних органів у сфері
телекомунікацій", який зобов'язує операторів послуг зв'язку надавати допомогу у
проведенні санкціонованого законом моніторингу систем зв'язку.
У серпні 2001 року Федеральна комісія США з комунікацій встановила за обов'язок
національним телефонним компаніям фіксувати початок і кінець кожного дзвінка з
тим, щоб давати цю інформацію агентам ФБР.
Приблизно така ж ситуація склалася і з контролем над телекомунікаціями з боку
європейських правоохоронних органів.
17 січня 1995 року Радою ЄС прийнята резолюція "Про законний моніторинг
телекомунікації", а 15 березня Й001 року - резолюція "Про законний моніторинг
телекомунікацій з врахуванням нових технологій".
У липні 2001 року конституційний суд ФРН прийняв рішення дозволити Федеральній
розвідувальній службі Німеччини (БНД) контролювати системи зв'язку, що виходять
за межі держави. Невиконання вимог співробітників БНД, скажемо, дати ключ або
розголошення інформації про те, що розвідники виявляли цікавість до якоїсь
персони або каналу зв'язку, загрожує штрафом у 250 тисяч марок.
Урегульовано подібні проблеми і у Росії. Там з 1995 року указом Президента РФ
заборонене використання криптографічного зв'язку без відповідної ліцензії навіть
індивідуальними користувачами.
Події 11 вересня 2001 року у Нью-Йорку, використання інформаційних технологій
терористичними угрупованнями та зростання кількості проявів кіберзлочинності
надали додаткового імпульсу посиленню боротьби з цими явищами на міжнародному
рівні. Наприклад, Україна підписала "Конвенцію про кіберзлочинність", що прийнята
23.11.2001 у Будапешті. Для вирішення проблеми боротьби з комп'ютерною
злочинністю Рада Європейського Союзу затвердила рекомендації ("ENFOPOL"), які
закріплюють вимоги правоохоронних органів щодо систем законного моніторингу з
метою забезпечення безпеки інформації в телекомунікаційних мережах загального
користування.
Враховуючи світові тенденції та недостатню захищеність Інформаційного простору
України від негативного зовнішнього та внутрішнього впливу постановою Кабінету
Міністрів України від 14.12.2001 № 1694 затверджено Програму реалізації
положень Варшавської конференції щодо спільної боротьби проти тероризму. Одним із
пріоритетних напрямів цієї Програми є удосконалення нормативно-правової бази з
питань боротьби з комп'ютерною злочинністю з метою приведення ЇЇ у відповідність
з нормами міжнародного права, документами Європейського Союзу і Ради Безпеки ООН.
При цьому міжнародні правозахисні організації не відносять Україну до порушників
прав та свобод громадян у галузі телекомунікацій. Наприклад, міжнародна
організація "Global Internet Liberty Compaign" (GILC), яка виступає за зняття
обмежень на кодування інформації, оцінила стан контролю за дотриманням таємниці
інформації, привласнивши кожній державі свій колір. У червону зону жорсткого
контролю за кодованою інформацією увійшли Беларусь, Китай, Ізраїль, Казахстан,
Росія. Україна поки знаходиться в благополучній зелено-жовтій зоні.
З метою гарантування забезпечення права громадян України на таємницю листування
Держкомзв'язку планує разом з Мін'юстом, СБУ та іншими зацікавленими органами
влади провести додатковий аналіз Порядку складання та ведення переліку
підприємств (операторів), які надають послуги з доступу до глобальних мереж
передачі даних органам виконавчої влади, іншим державним органам, підприємствам,
установам та організаціям, які одержують, обробляють, поширюють і зберігають
інформацію, що є об'єктом державної власності та охороняється згідно із
законодавством, який затверджено наказом Держкомзв'язку № 122 від 17.06.02.
При виявленні необхідності внесення змін до зазначеного наказу для посилення
відповідальності підприємств, установ та організацій, на яких розповсюджується
дія наказу, за забезпечення прав споживачів послуг передачі даних на таємницю та
цілісність приватної інформації, що передається, ці зміни буде підготовлено і
внесено в установленому порядку.
Стосовно вимоги щодо скасування наказу Держкомзв'язку від 17.06.2002 № 122
(зареєстрований в Мін'юсті 04.07.2002 за №559/6847), про яку йдеться у
заяві Інтернет асоціації України (ІнАУ) від 05.09.2002, повідомляємо, що
Держкомзв'язку не може скасувати зазначений наказ без відповідного рішення
Кабінету Міністрів України, оскільки він виданий на виконання п.2 постанови
Кабінету Міністрів від 12.04.2001 № 522 з урахуванням вимог ст.З Указу
Президента України від 24.09.2001 № 891. Ця стаття встановлює, що перелік
підприємств (операторів), процедура формування якого і визначається наказом
Держкомзв'язку від 17.06.2002 № 122, повинен формуватися з додержанням
установлених законодавством вимог щодо захисту інформації. Правові відносини щодо
захисту інформації в автоматизованих системах регулюються Законом України
«Про захист інформації в автоматизованих системах» від 05.07.94р.
№ 80/94-ВР, зокрема, абз.2 ст. 7, ст. 10, ст. 11 цього Закону.
Зауваження щодо системи моніторингу для здійснення контролю з метою забезпечення
безпеки інформації у мережах передачі даних, про яке йдеться у заяві ІнАУ від
05.09.2002, а також твердження про неможливість відділення трафіку державних
структур від загального трафіка, стосуються питань, що входять до компетенції
Служби безпеки України - органу державної влади, уповноваженого встановлювати
вимоги і правила щодо захисту інформації. Зокрема, вимоги щодо систем технічного
захисту інформації встановлюються документом НД ТЗІ 2.5-004-99 (затверджений
наказом ДСТСЗІ СБУ від 28.04.99р. № 22).
Виходячи з вищевказаного, Вам доцільно звернутися за роз'ясненнями щодо проблем,
пов'язаних з контролем за забезпеченням безпеки інформації у мережах передачі
даних, безпосередньо до Служби безпеки України.
У зв'язку з тим, що в заяві ІнАУ від 05.09.2002 не зазначено, хто і яким чином
може порушувати таємницю листування, використовуючи систему моніторингу для
контролю за забезпеченням безпеки інформації у мережах передачі даних, просимо
Вас надіслати на адресу Держкомзв'язку детальні роз'яснення щодо вказаної загрози
порушення прав громадян (з урахуванням нормативно-правових, організаційних та
технологічних аспектів загрози) та навести конкретні приклади відомих Вам
порушень. Надіслану Вами інформацію буде враховано при підготовці зазначених змін
і доповнень до наказу від 17.06.2002 № 122.
З повагою
Заступник Голови О. Проживальський