Президент Владимир Зеленский 26 июня подписал закон №3783-IX, вносящий изменения в закон об облачных услугах (законопроект 11143). В соответствии с этими изменениями Минобороны и ВСУ могут обрабатывать информацию в военной и оборонной сферах, в том числе служебную информацию и информацию, составляющую государственную тайну, посредством облачных ресурсов или центров обработки данных, размещенных за границей, с соблюдением требований законодательства.
Что предшествовало
Как ранее писала «Судебно-юридическая газета», недавно Верховная Рада разрешила обработку информации, содержащей государственную тайну Украины, за границей. Соответствующие изменения были внесены в закон о облачных услугах законом о цифровизации военного учета 3549-IX, который вступил в силу 4 апреля (законопроект 10062).
Так, до 4 апреля 2024 г. соответствующая статья 11 закона об облачных услугах устанавливала четкий запрет на обработку информации, составляющую государственную тайну, служебной информации, государственных и единых реестров, создание и обеспечение функционирования которых установлено законом, с помощью облачных ресурсов или центров обработки данных , размещенные за границей.
Изменениями от 4 апреля это правило было фактически упразднено.
Так, этот запрет на обработку информации с государственной тайной теперь не распространяется на обработку информации посредством облачных ресурсов или центров обработки данных, размещенных за границей, в информационных, информационно-коммуникационных, электронных коммуникационных системах, владельцем (держателем, разработчиком) которых является Министерство обороны, ВСУ и другие военные формирования.
Итак, если держателем реестра является Минобороны – например, Минобороны является держателем Реестра военнообязанных «Оберег», где есть широкий спектр данных об украинских гражданах, то обработка этой информации может с 4 апреля производиться за границей.
Следующим предложением в законе говорится, что обработка такой информации может осуществляться исключительно на территории государств-членов НАТО на основании совместного решения Минобороны и Генерального штаба ВСУ. Также об этом факте должны уведомить Комитет Верховной Рады по вопросам нацбезопасности.
Таким образом, обработка информации, содержащей государственную тайну, в электронных системах, владельцем или держателем или разработчиком которых является Минобороны, может осуществляться за границей посредством облачных ресурсов или центров обработки данных, размещенных на территории государств-членов НАТО.
Напомним, как ранее писала «Судебно-юридическая газета», при обсуждении законопроекта 10062 года народный депутат от «Голоса» Александра Устинова отмечала, что данные Реестра призывников, военнослужащих и резервистов будут храниться в «облачном» хранилище на серверах за рубежом. На это иностранные партнеры выделят 100 млн. долларов США.
Соответствующие изменения вызвали немало критики. В частности, секретарь Комитета Верховной Рады по вопросам национальной безопасности Роман Костенко указывал, что «нельзя размещать тайную и полностью тайную информацию на серверах за рубежом, тем более системы боевого управления во время войны».
В свою очередь заместитель министра обороны по вопросам цифровизации Катерина Черногоренко в интервью АрмияInform, комментируя закон о цифровизации военного учета и модернизацию Реестра «Оберег», пояснила, что хранение данных за рубежом не несет в себе никаких рисков для граждан: «Далее — особенная наша мечта: все военные системы смогут разворачиваться в облаке за границей. Это позволяет защищать вместе с партнерами пространство, где есть эти системы, избежать кинетического уничтожения и тому подобное».
Что изменили
Впрочем, депутаты решили все-таки уточнить эту норму.
Так, согласно изменениям, внесенным подписанным 26 июня законом №3783-IX, в период действия военного положения Министерство обороны Украины и ВСУ могут обрабатывать информацию в военной и оборонной сферах, в том числе служебную информацию и информацию, составляющую государственную тайну, в информационных, информационно- коммуникационных, электронных коммуникационных системах, владельцем (держателем, распорядителем) которых Министерство обороны Украины или ВСУ, с помощью облачных ресурсов или центров обработки данных, размещенных за границей, с соблюдением требований законодательства в сфере охраны служебной информации и государственной тайны.
Следовательно, депутаты добавили норму о том, что при обработке информации с государственной тайной за границей должны соблюдаться требования «законодательства в сфере охраны служебной информации и государственной тайны».
При этом из статьи 11 закона об облачных услугах убрали упоминание о том, что такая информация может обрабатываться исключительно на территории государств-членов НАТО, оставив общую норму «за рубежом» (конечно, за исключением рф).
Также убрали упоминание о том, что основанием для такой обработки за границей должно быть совместное решение Минобороны и Генштаба ВСУ и о том, что об этом должны сообщить в Комитет ВР по вопросам нацбезопасности.
Как реализует Кабмин
В дальнейшем, как писала «Судебно-юридическая газета», Кабмин принял постановления, касающиеся особенностей защиты государственных информационных ресурсов и информации с ограниченным доступом, используемых Минобороны и ВСУ.
Так, постановлением от 18 июня №719 Правительство установило, что не нужно будет проходить дополнительные процедуры по подтверждению соответствия по правилам Украины для использования Минобороны информационных, электронных коммуникационных, информационно-коммуникационных систем и программных средств, средств технической защиты информации, средств криптографической защиты информации США, Канады, Германии, Польши, Франции, Великобритании, Эстонии, Латвии, Литвы, Финляндии, Дании, Норвегии, Нидерландов, Испании, Италии, Греции, Словении, Австралии, Португалии, Швеции, Люксембурге, Бельгии и Румынии.
А именно для использования Минобороны и ВСУ систем и средств из указанных стран достаточно документов о соответствии таких систем и средств требованиям указанных государств и не требуется проведения дополнительных процедур подтверждения соответствия в Украине.
Также Правительство установило, что разрешается предоставление на рынке и ввод в эксплуатацию систем и средств криптографической защиты информации из указанного перечня стран, без применения положений Технического регламента средств криптографической защиты информации (который был утвержден постановлением КМУ №991).
Все информационные системы, требования к защите которых закреплены в законодательстве Украины, должны быть защищены по действующим стандартам.
Государственные информационные ресурсы или информация с ограниченным доступом, требование защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденным соответствием.
В соответствии со статьей 8 Закона «О защите информации в информационно-коммуникационных системах» подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы, которая проводится с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством.
Однако, судя по этому постановлению Кабмина, на системы и средства защиты информации из США и других стран требования по подтверждению соответствия, установленные украинским законом, могут не распространяться.
Кроме того, Кабмин постановлением от 21 июня 2024 г. №737 утвердил порядок реализации экспериментального проекта по защите и обработке информации в информационно-коммуникационной системе управления логистическим обеспечением. Реализация экспериментального проекта может производиться за счет средств международной помощи. В частности, «во избежание потенциального завышения степени ограничения доступа к информации» разграничение доступа к информации в информационной системе будет осуществляться аппаратными и/или программными средствами. Перечень информации, подлежащей обработке и требующий защиты в информационной системе, формируется из сведений о проведенного разграничения доступа к информации.
Какие замечания имеют в Комитете
Следует отметить, что определенную критику постановления Кабмина №719 выразил член Комитета ВР по нацбезопасности Александр Федиенко.
«Если говорить на очень простом языке, в этом постановлении разрешается конкретным странам, определенным в постановлении, поставлять на территорию Украины технические средства криптографического состава для того, чтобы они работали в соответствующих государственных учреждениях.
Если говорить еще более простым языком, то, например, есть какая-то информация, которая передается через какой-то модуль, блок и т.п., шифрующий эту информацию.
Далее другой блок декодирует, где-то берется ключ, с помощью которого другой блок это декодирует, то есть расшифровывает.
Конечно, вся эта информация, которая передается с помощью этих механизмов, принадлежит Украине, и, скорее всего, вполне тайная или тайная, а теперь внимание.
Методы, механизмы и т.п., которые шифруют эту информацию, не принадлежит Украине. Ключи, с помощью которых происходит расшифровка, тоже не принадлежит Украине.
Это приведет к существенным негативным последствиям для системы криптографической защиты информации, репутационных последствий, потере информации в пользу других стран», - отметил Федиенко.
Также он отметил, что системы управления криптографическими ключами, особенно средства генерации ключей (алгоритмы генерации, порядок использования ключей, программные или аппаратные методы реализации, принципы построения, методы уничтожения и т.п.) сами по себе являются государственной тайной с грифом «совершенно секретно» или особой важности (TOP SECRET, CATASTROPHIC SECRET). Согласно законодательству всех стран они не подлежат поставке как носитель государственной тайны.
«Обращаю внимание на перечень. У Украины нет административных договоренностей с этими странами относительно охраны тайны.
Такие кейсы могут войти в книги. Таким образом, постановление формирует условия, в которых в Украину для МОУ и ВСУ будут поставляться только средства КЗИ, без систем управления ключами. Управление ключами буду осуществляться страной-поставщиком средств КЗИ, в большинстве случаев удаленно.
Вывод: политическое решение создает условия поставки средств криптографической защиты информации, которые не соответствуют уровням гарантий защиты государственной тайны, образует условия зависимости от третьих стран по поставкам ключевых документов и передачу контроля над потоками информации в сетях МОУ и ВСУ третьим странам, что, как следствие, приводит к повышению рисков национальной безопасности Украины», - подчеркнул член Комитета.
Автор: Наталья Мамченко
Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.