В Україні запроваджено Єдину державну електронну систему управління галуззю рибного господарства, більш відому як “еРиба”. Ця система призначена для забезпечення електронної взаємодії у галузі, зокрема, для декларування права на промислове рибальство та дослідний вилов, ведення журналу обліку виловлених водних біоресурсів, оформлення квитанцій обліку здобутих ресурсів та проведення електронних торгів. Вона передбачає збір та обробку значного обсягу інформації, включаючи персональні дані.
Законодавчі Вимоги до Захисту Інформації в Державних Системах
Відповідно до Закону України «Про захист інформації в інформаційно-комунікаційних системах», державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації (КСЗІ) з підтвердженою відповідністю. Підтвердження відповідності КСЗІ здійснюється за результатами державної експертизи, яка проводиться у порядку, встановленому законодавством. Крім того, Постанова Кабінету Міністрів України № 373 передбачає необхідність отримання атестату відповідності КСЗІ для державних інформаційних систем.
Обробка персональних даних у компонентах системи “еРиба” має здійснюватися у порядку, визначеному законодавством про захист персональних даних та захист інформації в інформаційно-комунікаційних системах.
Поточний Стан Системи “еРиба” з Погляду Захисту Інформації
Незважаючи на ці чіткі законодавчі вимоги, офіційні відповіді Адміністрації Держспецзв’язку станом на травень-липень 2024 року свідчать про наступне:
- Заяв про проведення державної експертизи у сфері технічного захисту інформації КСЗІ на Єдину державну електронну систему управління галуззю рибного господарства (еРиба) та/або окремі її елементи до Адміністрації Держспецзв’язку від Міністерства аграрної політики та продовольства України та/або Держрибагентства не надходило.
- Державна експертиза не проводилася, атестати відповідності не реєструвалися.
Хоча програмне забезпечення компонентів системи “еРиба” розробляється на “Програмній платформі для розгортання та супроводження державних електронних реєстрів” (ІС Платформа), яка має зареєстрований атестат відповідності КСЗІ, дійсний до кінця воєнного стану, вимоги до побудови КСЗІ для конкретної інформаційно-комунікаційної системи (ІКС), включаючи правила її функціонування, політику безпеки власника ІКС та технологію обробки інформації, не охоплюються КСЗІ ІС Платформа. Сервіси безпеки з її складу лише необхідно враховувати при побудові КСЗІ конкретної ІКС.
Основний Наслідок Незахищеності: Порушення Законодавства
Ґрунтуючись на отриманих відповідях та аналізі законодавства, можна констатувати, що Єдина державна електронна система управління галуззю рибного господарства (еРиба), включаючи електронні торги, збір та обробку інформації, вимога щодо захисту якої встановлена законом, функціонує з порушенням норм законодавства України.
Потенційні Ризики (Непрямі Наслідки)
Відсутність комплексної системи захисту інформації з підтвердженою відповідністю, як того вимагає закон для державних інформаційних ресурсів та інформації з обмеженим доступом, створює потенційні ризики для функціонування системи та даних, що в ній обробляються. Хоча надані джерела прямо не описують конкретні інциденти чи збитки, спричинені відсутністю КСЗІ, незахищеність інформації за визначенням може призвести до:
- Несанкціонованого доступу до державних інформаційних ресурсів та інформації з обмеженим доступом.
- Витоку конфіденційної, таємної або службової інформації, включаючи персональні дані учасників рибного господарства.
- Спотворення або втрати даних про вилов, дозволи, електронні торги, що може підірвати прозорість та ефективність управління галуззю.
- Втручання у процес проведення електронних торгів, що потенційно може призвести до необ’єктивних результатів та фінансових втрат.
- Порушення цілісності та доступності системи, що може унеможливити або ускладнити здійснення рибальської діяльності та державний контроль.
Висновки
Таким чином, на основі офіційних даних, система “еРиба”, яка має обробляти державні інформаційні ресурси та інформацію з обмеженим доступом, наразі функціонує без необхідної комплексної системи захисту інформації з підтвердженою відповідністю. Це є прямим порушенням законодавства України і створює значні потенційні ризики для безпеки інформації та стабільності роботи критично важливої державної електронної системи. Для забезпечення законності та надійності функціонування системи “еРиба” необхідно негайно вжити заходів для розробки, впровадження та атестації КСЗІ відповідно до вимог законодавства.
Залишити відповідь
Щоб відправити коментар вам необхідно авторизуватись.