Коментарі до проекту закону про хмарні обчислення

1. КОМЕНТАРІ ДО ПРОЕКТУ ЗАКОНУ ЩОДО ОБРОБКИ ІНФОРМАЦІЇ В СИСТЕМАХ ХМАРНИХ ОБЧИСЛЕНЬ
Автор коментарів: Гліб Пахаренко
Дата: 19.03.2015
Контакт: gpaharenko@gmail.com
1. Термін “надавач доступу” замінити на “ропорядник послуги доступу”.
2. Фразу “здійснення криптографічного захисту відкритої інформації не вимагається” замінити на “ здійснення
криптографічного захисту конфіденційності відкритої інформації не вимагається”.
3. Необхідно ввести кримінальну та адміністративну відповідальність керівника установи, що використовує хмарні обчислення
при недотриманні принципів “due care & due dilligence”.
Оригінал Пропозиція
І. Внести зміни до наступних законодавчих актів України:
1. У Законі України «Про захист інформації в інформаційно-
телекомунікаційних системах» (Відомості Верховної Ради
України, 1994 р., No 31, ст.
286):
1) у статті 1:
визначення терміну «обробка інформації в системі»
викласти у такій редакції:
«обробка інформації в системі – виконання однієї або
кількох операцій,
зокрема: збирання, введення, записування, накопичення,
перетворення, зміна,
адаптування, поновлення, зчитування, зберігання, знищення,
реєстрації, приймання,
отримання, передавання, які здійснюються в системі за
допомогою технічних і
програмних засобів, а також передача інформації до системи
та з неї»;
доповнити перелік термінів з урахуванням алфавітного
порядку термінами
такого змісту:
І. Внести зміни до наступних законодавчих актів України:
1. У Законі України «Про захист інформації в інформаційно-
телекомунікаційних системах» (Відомості Верховної Ради
України, 1994 р., No 31, ст.
286):
1) у статті 1:
визначення терміну «обробка інформації в системі» викласти у
такій редакції:
«обробка інформації в системі – виконання однієї або кількох
операцій,
зокрема: збирання, введення, записування, накопичення,
перетворення, зміна,
адаптування, поновлення, зчитування, зберігання, знищення,
реєстрації, приймання,
отримання, передавання, які здійснюються в системі за
допомогою технічних і
програмних засобів, а також передача інформації до системи та з
неї»;
доповнити перелік термінів з урахуванням алфавітного порядку
термінами
такого змісту:

2. «надавач доступу до системи хмарних обчислень – фізична
або юридична
особа, відповідальна за здійснення обробки інформації в
системі хмарних обчислень
відповідно до договору, укладеного з володільцем
інформації»;
«система хмарних обчислень – система, що може включати
як клієнтське, так
і серверне програмне та/або апаратне забезпечення, за
допомогою якої забезпечується
доступ на вимогу до спільної сукупності динамічно
розподілюваних налаштовуваних
обчислювальних ресурсів (включаючи мережі, сервери,
сховища даних, прикладні
програми та послуги), які можуть бути оперативно надані і
вивільнені, через глобальні
мережі передачі даних із мінімальними управлінськими
заходами та/або мінімальною
взаємодією з надавачем доступу до системи хмарних
обчислень».
«розпорядник послуги доступу до системи хмарних обчислень
– фізична або юридична
особа, відповідальна за здійснення обробки інформації в системі
хмарних обчислень
відповідно до договору, укладеного з володільцем інформації»;
«система хмарних обчислень – система, що може включати як
клієнтське, так
і серверне програмне та/або апаратне забезпечення, за
допомогою якої забезпечується
доступ на вимогу до спільної сукупності динамічно
розподілюваних налаштовуваних
обчислювальних ресурсів (включаючи мережі, сервери, сховища
даних, прикладні
програми та послуги), які можуть бути оперативно надані і
вивільнені, через глобальні
мережі передачі даних із мінімальними управлінськими
заходами та/або мінімальною
взаємодією з розпорядником послуги доступу до системи
хмарних обчислень».
2) частину першу статті 3 після абзацу третього доповнити
абзацом такого
змісту:
«надавачі доступу до системи хмарних обчислень»;
у зв'язку з цим абзаци четвертий і п'ятий вважати відповідно
абзацами п'ятимшостим.
2) частину першу статті 3 після абзацу третього доповнити
абзацом такого
змісту:
«розпорядники послуги доступу до системи хмарних
обчислень»;
у зв'язку з цим абзаци четвертий і п'ятий вважати відповідно
абзацами п'ятимшостим.
3) у статті 8:
частину 3 доповнити реченням такого змісту: «При цьому
здійснення
3) у статті 8:
частину 3 доповнити реченням такого змісту: «При цьому
здійснення

3. криптографічного захисту відкритої інформації не
вимагається»;
доповнити частиною четвертою такого змісту:
«Спеціальний порядок обробки окремих видів інформації в
системі хмарних
обчислень встановлюється статтею 8 1 цього Закону».
криптографічного захисту конфіденційності відкритої
інформації не вимагається»;
доповнити частиною четвертою такого змісту:
«Спеціальний порядок обробки окремих видів інформації в
системі хмарних
обчислень встановлюється статтею 8 1 цього Закону».
4) доповнити статтею 81 такого змісту:
«Стаття 81. Порядок обробки інформації в системі хмарних
обчислень
і
Належний рівень захисту інформації в системі хмарних
обчислень
підтверджується наявністю у такої системи дійсного
сертифіката відповідності
вимогам міжнародного та національного стандарту у сфері
захисту інформації,
виданого акредитованим вітчизняним чи іноземним органом
сертифікації.
Перелік міжнародних та національних стандартів у сфері
захисту інформації,
відповідність вимогам яких підтверджує належний рівень
захисту інформації в
системі хмарних обчислень, затверджується Кабінетом
Міністрів України.
У разі обробки в системі хмарних обчислень відкритої
інформації, що належить
до державних інформаційних ресурсів, договір між
надавачем доступу до системи
хмарних обчислень та володільцем інформації повинен
містити зобов’язання надавача
доступу до системи хмарних обчислень щодо забезпечення
захисту інформації від
несанкціонованих дій, які можуть призвести до її випадкової
або умисної зміни,
втрати чи знищення.
4) доповнити статтею 81 такого змісту:
«Стаття 81. Порядок обробки інформації в системі хмарних
обчислень
і
Належний рівень захисту інформації в системі хмарних
обчислень
підтверджується наявністю у такої системи дійсного сертифіката
відповідності
вимогам міжнародного та національного стандарту у сфері
захисту інформації,
виданого акредитованим вітчизняним чи іноземним органом
сертифікації.
Перелік міжнародних та національних стандартів у сфері
захисту інформації,
відповідність вимогам яких підтверджує належний рівень
захисту інформації в
системі хмарних обчислень, затверджується Кабінетом Міністрів
України.
У разі обробки в системі хмарних обчислень відкритої
інформації, що належить
до державних інформаційних ресурсів, договір між
розпорядником послуги доступу до системи
хмарних обчислень та володільцем інформації повинен містити
зобов’язання розпорядника послуги
доступу до системи хмарних обчислень щодо забезпечення
захисту інформації від
несанкціонованих дій, які можуть призвести до її випадкової або
умисної зміни,
втрати чи знищення.

4. У разі обробки в системі хмарних обчислень конфіденційної
інформації або
таємної інформації, яка не становить державної таємниці, у
тому числі таких, що
належать до державних інформаційних ресурсів, договір
між надавачем доступу до
системи хмарних обчислень та володільцем інформації
повинен містити зобов’язання
надавача доступу до системи хмарних обчислень щодо
забезпечення захисту
інформації від несанкціонованого або випадкового доступу,
зміни, втрати, знищення,
розголошення, поширення.
Система хмарних обчислень, належний рівень захисту
інформації в якій
підтверджено відповідно до положень цієї статті, вважається
такою, інформація в якій
обробляється із застосуванням комплексної системи захисту
інформації з належно
підтвердженою відповідністю. Державна експертиза
комплексної системи захисту
REFORMS.IN.UA
інформації та підтвердження відповідності окремих засобів
захисту інформації, щоскладовими такої системи хмарних
обчислень, не здійснюються.
Не вимагається здійснення криптографічного захисту
конфіденційної
інформації або таємної інформації, яка не становить
державної таємниці, у тому числі
таких, що належать до державних інформаційних ресурсів,
згідно з вимогами
законодавства з питань криптографічного захисту
інформації, при їх передачі до
системи хмарних обчислень, всередині такої системи та з
У разі обробки в системі хмарних обчислень конфіденційної
інформації або
таємної інформації, яка не становить державної таємниці, у тому
числі таких, що
належать до державних інформаційних ресурсів, договір між
розпорядником послуги доступу до
системи хмарних обчислень та володільцем інформації повинен
містити зобов’язання
розпорядника послуги доступу до системи хмарних обчислень
щодо забезпечення захисту
інформації від несанкціонованого або випадкового доступу,
зміни, втрати, знищення,
розголошення, поширення.
Система хмарних обчислень, належний рівень захисту
інформації в якій
підтверджено відповідно до положень цієї статті, вважається
такою, інформація в якій
обробляється із застосуванням комплексної системи захисту
інформації з належно
підтвердженою відповідністю. Державна експертиза комплексної
системи захисту
REFORMS.IN.UA
інформації та підтвердження відповідності окремих засобів
захисту інформації, щоскладовими такої системи хмарних
обчислень, не здійснюються.
Не вимагається здійснення криптографічного захисту
конфіденційності конфіденційної
інформації або таємної інформації, яка не становить державної
таємниці, у тому числі
таких, що належать до державних інформаційних ресурсів,
згідно з вимогами
законодавства з питань криптографічного захисту інформації,
при їх передачі до
системи хмарних обчислень, всередині такої системи та з такої

5. такої системи за умови
підтвердження належного рівня захисту інформації в такій
системі відповідно до
положень цієї статті.
є
Для цілей обробки інформації в системі хмарних обчислень
надавач доступу до
системи хмарних обчислень вважається власником системи і
має такі ж права та
обов’язки, як і власник системи, крім випадків, коли
законодавством встановлені
особливості правового статусу надавача доступу до системи
хмарних обчислень.
У разі підтвердження належного рівня захисту інформації в
системі хмарних
обчислень відповідно до положень цієї статті контроль за
забезпеченням захисту
інформації, що обробляється в такій системі, здійснюється
винятково під час
перевірки володільця інформації в частині підтвердження
факту укладення між ним
та надавачем доступу до системи хмарних обчислень
договору згідно з вимогами цієї
статті та наявності в системи хмарних обчислень дійсного
сертифіката відповідності
вимогам національного та міжнародного стандарту у сфері
захисту інформації, як це
вимагається цією статтею.
Якщо умови, встановлені частинами першою, другою,
четвертою і п’ятою цієї
статті, не виконуються, обробка інформації в системі
хмарних обчислень
здійснюється в загальному порядку, передбаченому в статті
8 цього Закону».
системи за умови
підтвердження належного рівня захисту інформації в такій
системі відповідно до
положень цієї статті.
є
Для цілей обробки інформації в системі хмарних обчислень
розпорядник послуги доступу до
системи хмарних обчислень вважається власником системи і має
такі ж права та
обов’язки, як і власник системи, крім випадків, коли
законодавством встановлені
особливості правового статусу розпорядника послуги доступу
до системи хмарних обчислень.
У разі підтвердження належного рівня захисту інформації в
системі хмарних
обчислень відповідно до положень цієї статті контроль за
забезпеченням захисту
інформації, що обробляється в такій системі, здійснюється
винятково під час
перевірки володільця інформації в частині підтвердження факту
укладення між ним
та розпорядником послуги доступу до системи хмарних
обчислень договору згідно з вимогами цієї
статті та наявності в системи хмарних обчислень дійсного
сертифіката відповідності
вимогам національного та міжнародного стандарту у сфері
захисту інформації, як це
вимагається цією статтею.
Якщо умови, встановлені частинами першою, другою, четвертою
і п’ятою цієї
статті, не виконуються, обробка інформації в системі хмарних
обчислень
здійснюється в загальному порядку, передбаченому в статті 8
цього Закону».

6. 5) у статті 9:
частину першу доповнити реченням такого змісту:
«Особливості
відповідальності надавача доступу до системи хмарних
обчислень встановлюються
договором між надавачем доступу до системи хмарних
обчислень та володільцем
інформації»;
частину другу доповнити реченням такого змісту: «Цей
обов’язок не
застосовується до надавача доступу до системи хмарних
обчислень»;
доповнити частиною четвертою такого змісту:
«Про спроби та/або факти несанкціонованих дій у системі
хмарних обчислень
щодо відкритої інформації, що належить до державних
інформаційних ресурсів,
конфіденційної інформації або таємної інформації, яка не
становить державної
таємниці, у тому числі таких, що належать до державних
інформаційних ресурсів,
надавач доступу до системи хмарних обчислень натомість
повідомляє безпосередньо володільця відповідної
інформації, а володілець інформації повідомляє відповідно
спеціально уповноважений центральний орган виконавчої
влади з питань організації
спеціального зв'язку та захисту інформації або
підпорядкований йому регіональний
орган».
5) у статті 9:
частину першу доповнити реченням такого змісту: «Особливості
відповідальності розпорядника послуги доступу до системи
хмарних обчислень встановлюються
договором між розпорядником послуги доступу до системи
хмарних обчислень та володільцем
інформації»;
частину другу доповнити реченням такого змісту: «Цей
обов’язок не
застосовується до розпорядника послуги доступу до системи
хмарних обчислень»;
доповнити частиною четвертою такого змісту:
«Про спроби та/або факти несанкціонованих дій у системі
хмарних обчислень
щодо відкритої інформації, що належить до державних
інформаційних ресурсів,
конфіденційної інформації або таємної інформації, яка не
становить державної
таємниці, у тому числі таких, що належать до державних
інформаційних ресурсів,
розпорядник послуги доступу до системи хмарних обчислень
натомість повідомляє безпосередньо володільця відповідної
інформації, а володілець інформації повідомляє відповідно
спеціально уповноважений центральний орган виконавчої влади
з питань організації
спеціального зв'язку та захисту інформації або підпорядкований
йому регіональний
орган».
володілець інформації повинен при використанні хмарних
технологій повинен слідувати принципам належної
обачності та професійної добросовісності та несе
кримінальну і адміністративну відповідальність за їх
невиконання.

7. володілець інформації повинен забезпечити наступне:
* критичні процеси обробки даних входять в межі
сертифікації системи керування інформаційною безпекою;
* рівень ризику для даних в межах встановленого для
установи ризик-апетиту;
* план керування ризиками інформаційної безпеки
економічно ефективний.
Володілець інформації повинен впевнитись у тому, що:
* контролі захисту даних, що діють в його установі,
залишаються дієвими і при використанні хмарних
технологій;
* він має актуальну інформацію про керівництво та
володільців юридичної особи розпорядника доступу до
системи хмарних обчислень, може впевнитись в їх
благонадійності, залучаючи за необхідності органи безпеки та
правопорядку України;
* має актуальну інформацію про фізичне розташування
систем хмарних обчислень;
* має план відновлення своєї діяльності та відновлення
даних у разі переривання роботи розпорядника послуг
доступу до хмарних обчислень;
* інші клієнти розпорядника послуг доступу до хмарних
обчислень не несуть загрози для даних;
* правовий режим держав, де розміщуються системи
хмарних обчислень, дозволяє володільцю ефективно
захищати свої дані. Відповідальні юристи установи мають
необхідний міжнародний досвід та ресурси для захисту
інтересів установи володільця даних;
* розпорядник послуг доступу має надійні процедури
знищення даних, які цього потребують;
* процедури керування доступом дієві для даних в системах
хмарних обчислень;
* розпорядник послуги доступу має ефективний план
неперервної діяльності;

8. * розпорядник послуги даних використовує відкриті
стандарти для взаємодії з ним;
* мати детальне економічне обгрунтування для
використання хмарних обчислень, що враховує ризики
такого підходу і ключові цільові показники діяльності
установи володільця даних;
* відповідні фахівці установи володільця даних мають
міжнародні сертифікати із захисту інформації, аудиту
інформаціних технологій, корпоративного керування
інформаційними технологіями, вони пройшли навчання по
використанню хмарних технологій;
* створена дієва політика інформаційної безпеки, що
враховує ризики використання хмарних обчислень;
* клієнти, співробітники та користувачі володільця даних
освідчені та свідомі щодо ризиків хмарних обчислень.
Для державної уставнови рівень ризик-апетиту та план
керування ризиками погоджує керівник вищерозташованої в
ієрархії керування державної установи. Сумарний ризик-
апетит всіх підпорядкованих установ не повинен перевищути
ризик-апетит головної установи. Прем'єр-міністр
відповідальний за визначення ризик-апетиту на
національному рівні та економічну ефективність
національного плану керування ризиками. За неналежне
виконання цього обов'язку він несе кримінальну
відповідальність.
Верховна Рада України створює постійно діючу аудиторську
комісію, що перевіряє ефективність керування
інформаційними технологіями в державних установах.
2. Частину третю статті 4 Закону України «Про захист
персональних даних»
(Відомості Верховної Ради України, 2010 р., No 34, ст. 481)
виключити.
2. Частину третю статті 4 Закону України «Про захист
персональних даних»
(Відомості Верховної Ради України, 2010 р., No 34, ст. 481)
виключити.