Адміністрація Держспецзв’язку інформує про результати державної експертизи КСЗІ системи електронного декларування
12 серпня 2016 року, відбулося засідання Експертної ради з питань державної експертизи в сфері технічного захисту інформації, на якому розглянуто результати проведення державної експертизи побудованої комплексної системи захисту інформації (КСЗІ) Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування (далі – Реєстр).
Замовником державної експертизи є Національне агентство з питань запобігання корупції (НАЗК). Розробником програмного забезпечення, відповідно до угоди укладеної з Програмою розвитку ООН, виступає ТОВ «Міранда».
Необхідно звернути увагу, що після прийняття НАЗК рішення про проведення державної експертизи (02.08.2016) необхідні для експертизи матеріали та програмний код були надані Держспецзв’язку лише 10 серпня і тільки 11 серпня було забезпечено короткостроковий двогодинний доступ до технічних/апаратних засобів Реєстру без надання паролів. Усе це значно ускладнило проведення експертизи. Навіть за таких умов було виявлено значну кількість невідповідностей реалізованих рішень із захисту інформації вимогам технічного завдання на побудову КСЗІ Реєстру, а також не підтверджені спроможності системи забезпечувати безпеку окремих задекларованих функцій, зокрема в частині ідентифікації та автентифікації декларанта за допомогою сервісів BankID. Серед наданих документів відсутні акти завершення дослідної експлуатації, завершення робіт зі створення КСЗІ, протокол її попередніх випробувань, що може свідчити про незавершеність робіт зі створення КСЗІ Реєстру.
Треба зауважити, що наявна функціональність Реєстру не відповідає цілям створення системи електронного декларування, про що було наголошено на робочій зустрічі представників державних органів та заінтересованих сторін ЄС, США, ПРООН у вівторок, 9 серпня. На сьогодні, КСЗІ Реєстру при його взаємодії з іншими реєстрами, базами і банками даних для забезпечення повної функціональності системи електронного декларування, не реалізована. Програмне забезпечення, що досліджувалося в рамках державної експертизи, виконане (розроблене) частково, що не дозволяє говорити про забезпечення надійного захисту інформації в системі електронного декларування.
Враховуючи викладене, Експертною радою прийнято рішення про невідповідність КСЗІ Реєстру вимогам нормативних документів з технічного захисту інформації в обсязі функцій, зазначених у технічному завданні на створення КСЗІ, та відмовлено у видачі Атестату відповідності. Це непросте рішення, яке прийнято усвідомлюючи можливий суспільний резонанс на тлі штучних звинувачень на адресу Держспецзв’язку. Але це єдине правильне рішення, яке ґрунтується на приписах Закону та вимогах нормативних актів, повазі та захисті прав наших громадян і їх персональних даних, безумовному забезпеченні безпеки інформації, що охороняється відповідно до чинного законодавства.
Після доробки та виправлення недоліків КСЗІ Реєстру, за ініціативою НАЗК у будь-який час може бути проведено державну експертизу з метою отримання Атестату відповідності комплексної системи захисту інформації Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування.
Держспецзв’язку в свою чергу готовий негайно здійснити усі необхідні заходи з проведення державної експертизи КСЗІ з метою надати Атестат відповідності комплексної системи захисту інформації Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування.
В Держспецзв’язку свідомі, якої великої державної та суспільно значимої ваги набуло питання про електронне декларування, і готові працювати цілодобово для проведення експертизи та видачи Атестату. Розраховуємо на конструктивну співпрацю з НАЗК і на високу громадянську свідомість та відповідальність розробників програмного продукту.
Прес-служба Держспецзв’язку