The following two tabs change content below.

• Bio
• Latest Posts

Ірина Кременовська

кандидат юридичних наук, старший науковий співробітник; e-mail: [email protected]

Latest posts by Ірина Кременовська (see all)

• Клірик УПЦ (МП) Микола Данилевич виправдовував російську агресію та розпалював релігійну ненависть -
• «Back to black» – серія робіт «Старі та діти» Тамари Качаленко -
• Краєвиди інакшого Донецька -
• Obuvbrand (ФОП Гусєва Катерина Олександрівна) залишить вас без грошей і взуття -
• Про знахідки на обшуках у секті «АллатРа» і соціальну (без)відповідальність медійників -

Про дотримання окремими державними підприємствами і установами енергетичної галузі вимог чинного законодавства щодо захисту інформаційних ресурсів (в частині оприлюднення інформації на їх офіційних веб-сайтах).

У попередніх наших дослідженнях ми розбирали питання захисту інформації на офіційних веб-сайтах і в автоматизованих системах прийняття рішень. Так, на прикладі Полтавської обласної ради було з’ясовано, що переважна більшість сайтів, інформаційних баз і автоматизовані системи прийняття рішень перебувають приблизно в такому первісному стані, як у Полтаві. Мають місце недоліки в їх роботі та інші проблеми, що потребують вжиття заходів реагування. Фактично основна проблема полягає в тому, що результати голосування у значній кількості рішень, ухвалених під час голосування з використанням таких електронних систем можуть бути скасовані чи оспорювані.

Питання захисту інформації в інформаційно-телекомунікаційних системах

Отже, тепер аналізуємо стан дотримання окремими підприємствами і установами енергетичної галузі вимог Закону України «Про захист інформації в інформаційно-телекомунікаційних системах».

Відповідно до вимог ст. 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Власне, питання підтвердження відповідності тут є ключовим. Якщо підприємства чи установи не зверталися до спеціально уповноваженого державного органу (про його завдання буде сказано далі) з питань проведення державної експертизи у сфері технічного захисту інформації щодо комплексних систем захисту інформації інформаційно-телекомунікаційних систем, то це означає, що вони діють не як офіційні державні інформаційні ресурси, а як напівприватні самодіяльні проекти. Для отримання відповідності підприємства та установи повинні подати документи встановленого зразку. Лише після їх реєстрації приймається рішення про підтвердження відповідності цих інформаційно-телекомунікаційних систем.

Інформація, що міститься на офіційних веб-сайтах державних  підприємств і установ, має бути захищена. Зокрема це стосується офіційних документів, які там опубліковані. І всі зміни, котрі вносяться до них, також повинні бути належним чином зафіксовані.

Завдання Держспецзв’язку щодо захисту державних інформаційних ресурсів

Для цього у нашій країні створена і діє Державна служба спеціального зв’язку та захисту інформації України (далі – Держспецзв’язку). Цей державний орган призначений для забезпечення функціонування і розвитку:

• державної системи урядового зв’язку;
• Національної системи конфіденційного зв’язку;
• формування та реалізації державної політики у сферах криптографічного та технічного захисту інформації;
• кіберзахисту;
• телекомунікацій;
• користування радіочастотним ресурсом України;
• поштового зв’язку спеціального призначення;
• урядового фельд’єгерського зв’язку, а також інших завдань відповідно до закону.

Державна служба спеціального зв’язку та захисту інформації України спрямовує свою діяльність на забезпечення національної безпеки України від зовнішніх і внутрішніх загроз та є складовою сектору безпеки і оборони України.

Одним з основних завдань Держспецзв’язку є формування та реалізація державної політики у сферах захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

Оприлюднення інформації на офіційних веб-сайтах підприємств енергетичної галузі

У Законі України «Про ринок електричної енергії» міститься значна кількість норм, які визначають обов’язки цих підприємств і установ, а також види інформації, що підлягає оприлюдненню на їхніх офіційних веб-сайтах.

Зокрема, даним законом визначено обов’язки Регулятора (Національної комісії, що здійснює державне регулювання у сферах енергетики і комунальних послуг), оператора, виробників, постачальників, операторів системи передачі, Центрального органу виконавчої влади, що забезпечує формування та реалізацію державної політики в електроенергетичному комплексі тощо стосовно розміщення тієї чи іншої інформації на своїх офіційних веб-сайтах.

Інформація, що підлягає обов’язковому оприлюдненню:

Серед видів інформації, що підлягає оприлюдненню на офіційних веб-сайтах зазначених підприємств, Закон України «Про ринок електричної енергії» визначає як текстові інформаційні повідомлення, так і документи, а саме:

• рішення (крім тих частин, які містять конфіденційну інформацію), в тому числі про сертифікацію або про відмову у сертифікації;
• ціни, тарифи і ставки;
• звіти з оцінки відповідності (достатності) генеруючих потужностей;
• інформація про звільнення невикористаної пропускної спроможності міждержавних ліній;
• інформація та умови проведення конкурсів на будівництво генеруючої потужності та на виконання заходів з управління попитом;
• інформація про частку кожного джерела енергії, використаного для виробництва електричної енергії, та про вплив на навколишнє природне середовище, спричинений виробництвом електричної енергії;
• звіти про виконання системи заходів, інформацію про умови надання послуг з розподілу електричної енергії та послуг з приєднання до системи розподілу;
• показники якості послуг;
• інформація щодо правил ринку, кодексу системи передачі та іншу інформацію, передбачену законодавством.

Внесення змін до оприлюдненої інформації та підтвердження відповідності

Проте на практиці непоодинокими є випадки, коли раніше оприлюднена інформація зазнавала змін, виправлень і доповнень, які не завжди відображаються на офіційних веб-сайтах зазначених підприємств.

Для того, щоб з’ясувати стан дотримання вимог законодавства щодо захисту інформації в інформаційно-телекомунікаційних системах, ми звернулися до Держспецзв’язку. В тому числі, було поставлено питання про підтвердження відповідності даних офіційних веб-сайтів.

Як ідеться з одержаної відповіді, пунктом 4 постанови Кабінету Міністрів України від 29.03.2006 р. № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» (далі – Постанова №373) визначено інформацію, яка підлягає захисту в інформаційно-телекомунікаційних системах.

Відповідно до вимог п. 17 Постанови № 373 відповідальність за забезпечення захисту інформації в інформаційно-телекомунікаційній системі, своєчасне розроблення необхідних для цього заходів і створення системи захисту покладається на керівника (заступника керівника) організації, яка є розпорядником системи.

Підприємства, які не зверталися до Держспецзв’язку з питань експертизи у сфері технічного захисту інформації

Державне підприємство «Оператор ринку», державне підприємство Національна атомна енергогенеруюча компанія «Енергоатом», державне підприємство «Гарантований покупець», ПрАТ «Національна енергетична компанія «Укренерго», Національна комісія, що здійснює державне регулювання у сферах енергетики і комунальних послуг, з питань проведення державної експертизи у сфері технічного захисту інформації щодо комплексних систем захисту інформації інформаційно-телекомунікаційних систем, що задіяні у забезпеченні функціонування офіційних сайтів зазначених підприємств та установ, а також реєстрації документів з підтвердження відповідності цих систем до Адміністрації Держспецзв’язку не зверталися.

Будь-який веб-сайт державного підприємства чи установи – це, по суті, цифрова форма оприлюднення офіційної інформації. Вона має бути захищена від несанкціонованого втручання. Інформація, що міститься на таких ресурсах, не може змінюватися на чийсь власний розсуд. Вона не може видалятися «просто тому, що так вирішили» без фіксації внесених виправлень або доповнень.

Якщо дивитися за аналогією, то уявімо собі книгу, папку з підшитими документами та блокнот-щоденник. Усі зміни чи трансформації, що можна виконувати із цими предметами, нескладно виявити. Скажімо, якщо з книги вирвати аркуші або замінити їх іншими, це буде внесення змін. Вони суттєво впливають на загальний зміст, вони будуть помітними навіть неозброєним оком. Те ж саме буде, якщо, наприклад, ви робите нотатки у своєму щоденнику, а потім щось викреслюєте чи виправляєте. Якщо видалити аркуші зі справи, у якій прошито і пронумеровано сторінки, то це у певних випадках може бути кваліфіковано як підроблення документів або їх несанкціоноване знищення.

А от у випадку з офіційними веб-сайтами виходить так, що в разі внесення виправлень, уточнень або доповнень це може ніяк не відображатися. Ми вдячні фахівцям Держспецзв’язку за надану відповідь, а після надходження інших відомостей неодмінно повернемося до такої важливої теми, як захист державних інформаційних ресурсів.