В современном мире главной тенденцией является виртуализация всего и вся. Еще два десятилетия назад сложно было себе представить, что большая часть информации будет существовать в небумажной форме.
Швеция планирует отказаться от бумажных денег в пользу электронных, административные услуги на Украине будут доступны в Интернете, повсеместно создаются электронные правительства, вводятся биометрические паспорта… C каждым днем виртуальная информация увеличивает свое значение, приобретает «статус» и «вес» в общественных, в том числе и юридических, отношениях.
Ранее сохранность документированной информации обеспечивалась сохранностью ее материальных (бумажных) носителей и обеспечением неприкосновенности их содержания (например, ответственность за подделку).
Сейчас же одним ловким кликом мышки или нажатием клавиш на клавиатуре можно изменить судьбу человека, наделить или обделить его имуществом, сделать из него должника или…
Современные информационные технологии предполагают появление и новых рисков: вспомните паралич государственных электронных ресурсов сразу после закрытия сайта ex.ua; правительство США причислило борьбу с хакерским шпионажем к своим самым приоритетным задачам, а также разработало проект стратегии по борьбе с киберпреступностью; генпрокурор США считает, что кража секретной информации ежегодно обходится американским компаниям в десятки миллиардов долларов и представляет угрозу национальной безопасности страны…
Сегодня на Украине функционируют десятки информационных баз, в которых скапливается, обрабатывается, хранится самая различная информация: единый реестр общественных формирований, госреестр печатных СМИ, единый госреестр юридических лиц и физических лиц — предпринимателей, госреестр ипотек, реестр прав собственности на недвижимое имущество, госреестр актов гражданского состояния граждан, госреестр адвокатских объединений, госреестр избирателей, единый госреестр предприятий и организаций, единый госреестр судебных решений, единый госреестр исполнительных производств, госреестр обременений движимого имущества, госреестр баз персональных данных, единый госреестр лиц, совершивших коррупционные правонарушения, реестр плательщиков НДС — продолжать можно и дальше. Разная степень нормативного обеспечения (какие-то правила предусмотрены законом, что-то регламентируется постановлением Кабинета Министров Украины, что-то — ведомственными нормативными актами), разное содержательное наполнение и особенности функционирования…
Но все эти реестры объединяет одно — электронные базы данных, созданные при помощи автоматизированной системы. А значит, к ним применяются не только нормы законодательства, регламентирующего содержание баз и применение собираемой и обрабатываемой информации, но также правила, определяющие особенности их функционирования как элементов информационно-телекоммуникационных систем.
В соответствии с Законом Украины «О защите информации в информационно-телекоммуникационных системах» информация, которая является собственностью государства, или информация с ограниченным доступом, требования касательно защиты которой установлены законом, должна обрабатываться в автоматизированных системах с применением комплексной системы защиты информации (КСЗИ) с подтверждением соответствия. За создание КСЗИ ответственность возлагается на собственника системы. Единственной на Украине процедурой подтверждения соответствия КСЗИ является государственная экспертиза в сфере технической защиты информации.
Специально уполномоченным центральным органом исполнительной власти по вопросам защиты информации является Администрация Государственной службы специальной связи и защиты информации (ГСССЗИ). Ее деятельность регламентируется в том числе Законом «О Государственной службе специальной связи и защиты информации Украины» от 23 февраля 2006 года № 3475-IV. Данная организация осуществляет полномочия по определению требований и порядка создания КСЗИ, организации проведения государственной экспертизы комплексной системы защиты информации и осуществления контроля за соблюдением защиты информации.
С 20 ноября 2012 года начал функционировать Единый реестр досудебных расследований (ЕРДР, Реестр). Согласно пункту 1.2. Положения о порядке ведения Единого реестра досудебных расследований, утвержденного приказом Генерального прокурора Украины № 69 от 17 августа 2012 года (Положение), ЕРДР — это созданная при помощи автоматизированной системы электронная база данных, в соответствии с которой осуществляются сбор, хранение, защита, учет, поиск, обобщение данных, подлежащих внесению в ЕРДР.
Исполнение функций администратора, обеспечивающего техническое и технологическое создание и сопровождение программного обеспечения ЕРДР, администрирование и мониторинг использования системы, предоставление доступа к реестру и ограничение доступа, использование электронной цифровой подписи, сохранение и защиту данных, содержащихся в ЕРДР, проверку соблюдения дисциплины и системы безопасности, возлагается на Генеральную прокуратуру, прокуратуры АР Крым, областные, г. Киева и г. Севастополя (пункты 1.9., 1.6. Положения).
Думаю, ни у кого не будет вызывать сомнения, что информация, которая вносится в ЕРДР, является собственностью государства (другого собственника представить себе сложно). Собственником Реестра выступает Генеральная прокуратура, и именно она законодательно несет ответственность за обеспечение защиты информации.
Таким образом, по нашему мнению, ЕРДР должен функционировать в автоматизированной системе с использованием КСЗИ, соответствие которой подтверждено государственной экспертизой (часть 2 статьи 8 Закона Украины «О защите информации в информационно-телекоммуникационных системах»).
Мы поинтересовались у соответствующих государственных органов, каким образом защищается информация в ЕРДР. И были несколько удивлены полученными ответами.
На запрос редакции Администрация ГСССЗИ сообщила, что не имеет сведений о внедрении мероприятий по защите информации в ЕРДР. Генеральная прокуратура Украины к Администрации ГСССЗИ с вопросами касательно обеспечения защиты информации ЕРДР не обращалась, заявление о проведении государственной экспертизы КСЗИ Реестра не направляла.
На прямые вопросы редакции о подтверждении соответствия системы защиты информации в ЕРДР и проведении соответствующей государственной экспертизы заместитель Генерального прокурора Украины Юрий Ударцов ответил: «В автоматизированной системе «Единый реестр досудебных расследований» используются сертифицированные средства технической и криптографической защиты информации с подтвержденным соответствием». О проводящейся или проведенной государственной экспертизе — ни слова.
Объединяя информацию из двух ответов на запросы, можно предположить, что государственная экспертиза КСЗИ Реестра не проводилась, а соответственно, информационно-телекоммуникационная система, которая лежит в основе ЕРДР, не могла быть введена в эксплуатацию и функционировать в соответствии с законодательством (пункт 6.5.8.2. НД ТЗИ 3.7.-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе», утвержденного приказом предшественника Администрации от 8 ноября 2005 года № 125).
Кроме того, вызывает вопросы скорость, с которой начал функционировать ЕРДР. С момента утверждения Положения до момента начала полноценной работы прошло всего три месяца. Соответствует ли такая скорость масштабам работ? Возьмем, к примеру, Единый государственный демографический реестр. По словам руководителя Государственной миграционной службы Николая Ковальчука, согласно плану мероприятий по созданию единого демографического реестра и национальной системы идентификации граждан, только их создание, тестирование и практический запуск займет около трех лет. Речь идет в том числе и о создании технических структур, разработке и обкатке шаблонов базы данных, тестировании реестра, верификации его систем. Неужели ЕРДР настолько прост? А учитывая ответ г-на Ударцова, Генеральной прокуратурой была создана новая автоматизированная система «Единый реестр досудебных расследований», которая ранее не функционировала.
Даже более продолжительное создание информационных систем госорганов не исключает сбоев в их работе. Вы не сталкивались сами или не слышали от коллег, клиентов, как «подвисает» база налоговых накладных? А нотариусы ничего не говорили о периодических проблемах с доступом к реестрам Министерства юстиции? А в январе этого года ничего в СМИ не писалось о перебоях в работе Национальной автоматизированной информационной системы Государственной автомобильной инспекции (НАИС ГАИ), не позволяющих осуществлять регистрацию транспортных средств (например)? Кстати, согласно ответу того же ГСССЗИ, а также ответу на запрос Департамента ГАИ, Администрация ГСССЗИ организовала проведение экспертизы (внимание!) технического задания на создание НАИС ГАИ, а затем утвердила результаты экспертизы уже созданной НАИС ГАИ (правда, уже после начала функционирования НАИС, но все же).
Итак, представим себе, что в Реестре появилась информация, например, о подделке документов на вашем предприятии. Извлекается выписка из ЕРДР, проводятся следственные действия. А потом вдруг данная информация пропадает (дай Боже), или изменяется дата внесения данных в Реестр, или изменяется дата внесения информации в реестр об уведомлении о подозрении… Как доказать, что такая информация является достоверной, неизменной?
Особенность Реестра заключается в том, что это замкнутая информационная система с доступом исключительно сотрудников правоохранительных органов. Однако информация из этой базы непосредственно влияет на права и законные интересы граждан и других лиц.
Как минимум из вышеизложенного возникают два вопроса:
1. Как гарантируется и обеспечивается защита информации в Реестре от внешних и внутренних угроз?
2. Не должен ли быть создан механизм независимого (общественного) контроля за администрированием Реестра?
Согласно ответу заместителя Генерального прокурора, мероприятия по защите сведений, содержащихся в ЕРДР, от несанкционированного доступа осуществляются с учетом методических рекомендаций службой защиты информации, осуществляющей свои функции в соответствии с требованиями НД ТЗИ 1.4-001-2000 «Типовое положение о службе защиты информации в автоматизированной системе». Мы это поняли как наличие в структуре Генеральной прокуратуры Украины отдельного подразделения, курирующего данное направление деятельности. Но будет ли достаточно сил, компетентности, опыта данных сотрудников при обеспечении функционирования ЕРДР? Почему Генпрокуратура не пользуется помощью, в данном случае обязательной, специального государственного органа, систематизирующего опыт защиты информации во всех органах государственной власти?
Кстати, вызывает недоумение, что взаимоотношения между Генпрокуратурой и Министерством внутренних дел, а также Государственной судебной администрацией по организации взаимодействия их баз данных (пункт 1.5. Положения) осуществляется исключительно в пределах требований Уголовного процессуального кодекса (УПК) Украины (об этом сообщила Генпрокуратура). Как нам кажется, сотрудники Генеральной прокуратуры смешивают требования УПК Украины, направленные прежде всего на регламентирование содержания ЕРДР и использование сведений ЕРДР, с требованиями специализированного законодательства, регламентирующего функционирование ЕРДР как информационно-телекоммуникационной системы.
А если эту проблему рассмотреть с точки зрения легитимности использования информации из Реестра на каждом этапе уголовного процесса? А может быть, вместо обжалования процессуальных действий в уголовном процессе ставить под сомнение действия по внесению, изменению, использованию информации в Реестре как части автоматизированной системы, и именно это — новый способ реализации прав участников уголовного процесса? Как можно принимать легитимные решения следственному судье, если информацию, используемую в процессе принятия решения, нельзя считать достоверной, так как ее неизменность не подтверждена государственными гарантиями.
Если же вернуться ко второму вопросу, то, на наш взгляд, необходимо внедрить независимый контроль за администрированием ЕРДР со стороны Уполномоченного Верховного Совета Украины по правам человека или иного органа власти (или даже независимой общественной организации/формирования), который не относится к правоохранительным органам. Такой механизм позволит контролировать достоверность информации в ЕРДР и выступать в качестве независимой экспертно-контрольной институции. Ведь кто-то же должен рассматривать споры относительно содержания ЕРДР. И сам собственник ЕРДР в данном случае не может быть эффективным контролером, так как Генпрокуратура является изначально заинтересованной стороной.
Подобный механизм обсуждался на уровне экспертов касательно снятия информации с каналов связи (в том числе прослушивания телефонов), но так и остался нереализованным благим намерением.
Все вышеизложенное позволяет подтвердить один очевидный для Украины вывод: наличие хороших законов в нашей стране нивелируется их повсеместным неисполнением.
ПОСТУЛЬГА Василий — юрист, г. Киев
Виктор ШВЕЦ,
народный депутат Украины
— Когда принимался Уголовный процессуальный кодекс Украины, в раздел, который предусматривал введение ЕРДР, я внес около десяти страниц изменений с описанием всех юридических механизмов. Сейчас вы, наверное, обратили внимание, что ЕРДР утверждается Генеральным прокурором. Считаю, что это абсолютно незаконное действие, поскольку реестр влияет на права и свободы граждан. Когда появляются сообщения в реестре о совершении преступления, возникает начальная стадия уголовного расследования. Процедура ведения реестра и все другие нюансы, связанные с его введением в действие и реализацией, утверждены в подзаконных актах, что является, на мой взгляд, грубым нарушением Конституции Украины.
И если действительно ЕРДР должен проходить соответствующую экспертизу, а с учетом того, что в нем содержатся персональные данные граждан, то в этом случае, безусловно, должны быть задействованы все правовые механизмы для защиты этих сведений, а если такой защиты нет, и соответствующие государственные институции не выдали сертификат на его ведение, то, несомненно, это является нарушением.
Виталий ТЫТЫЧ,
управляющий партнер АО «Виталий Тытыч и Партнеры»
— Если говорить о Едином государственном реестре судебных решений, то для практикующих юристов это один из наиболее часто используемых ресурсов.
Работа с реестром занимает достаточно много времени, более того, не всегда удается найти решение, которое в нем действительно содержится.
Отмечу, что данный реестр не мобилен и периодически по непонятным причинам из него «выбивает».
При пользовании подобными ресурсами других стран таких проблем не возникало. Например, на протяжении длительного времени мне и моим коллегам приходилось пользоваться судебным реестром Чехии. Юрист, который абсолютно не владел чешским языком, довольно легко и оперативно находил все необходимые документы по делу о банкротстве.
Если говорить о других реестрах, то, например, мне непонятно, как сейчас работают реестры в сегменте арбитражного управления. Эти продукты достаточно сырые, явно к их внедрению надлежащим образом не готовились. И поэтому сегодня такими ресурсами пользоваться крайне тяжело и неудобно.
В целом при работе с любым государственным реестром достаточно часто можно столкнуться с теми или иными проблемами. Будь то какие-либо технические перебои в работе либо некорректное или неполное предоставление запрашиваемой информации.
Евгений СОЛОДКО,
партнер АГ «Солодко и Партнеры»
— В данном случае любое заявление о преступлении по действующему Уголовному процессуальному кодексу Украины вносится в Единый реестр досудебных расследований (ЕРДР). Соответственно есть Положение о порядке его ведения, и регистрационный номер является основанием для того, чтобы начать уголовное производство по делу.
Если такой реестр не прошел экспертизу на предмет утечки информации и комплекса ее защиты, то это — проблема исключительно держателей реестра. Не могу сказать о незаконности ведения ЕРДР, если он не прошел определенную экспертизу. Его ввели в действие, следовательно, ответственность будут нести те лица, которые его разрабатывали и внедряли. В данном случае мы говорим о том, что информация в реестр вносится о тех следственных действиях, которые проводятся касательно лица, в отношении которого подано заявление, или по факту каких-либо преступных действий. Если будет утечка информации из данного реестра, то очевидно для всех, что это уже преступление и является делом подсудным. Видимо, есть ответственные люди, которые разрабатывали, в том числе технически, ЕРДР, поэтому необходимо говорить с руководителем рабочей группы, занимающейся его разработкой, почему реестр не прошел соответствующую проверку.
С другой стороны, если ставить вопрос о том, прошел ЕРДР или не прошел соответствующую экспертизу, то по большому счету это как автомобиль — он ездит, но сертификацию не прошел, однако от этого не перестал быть автомобилем, и здесь уже следует задуматься о безопасности и целесообразности выпуска. Так и с реестром: если информация все-таки внесена в него и в действии содержатся признаки преступления — все равно расследование идет.
Любое заявление вносится в реестр, и говорить о незаконности такого внесения нельзя. Если речь идет о незаконности функционирования реестра или о несоответствии действующему законодательству, тогда надо четко понять, каким критериям должен соответствовать ЕРДР как информационный документ, в котором содержится информация, представляющая собой государственные сведения и сведения с ограниченным доступом.
Вот и давайте пойдем от противного: допустим, реестр сертификацию не прошел, есть ли закрепленная норма, прямо предусматривающая запрет его использования?
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…