Стало відомо, яка може бути небезпека під час використання програмного забезпечення у державному секторі

0
460

Наразі 21 століття – вік інформаційних технологій, глобальної комп’ютеризації, розвитку телекомунікаційних систем. Обсяги інформації, які обробляються, постійно зростають, і людина вже не в змозі обробити цю інформацію вручну,  без використання комп’ютерних технологій. Про це пише solarsoft.com.ua

Сьогодні автоматизація є невід’ємним атрибутом діяльності будь-якого господарюючого суб’єкта незалежно від форми власності, галузі та кількості працівників, а особливо бухгалтерського апарату.

Тобто, будь-який бухгалтерський відділ чи служба використовують якесь програмне забезпечення для автоматизації своєї діяльності. І, якщо в приватному секторі власники бізнесу самостійно обирають програмне забезпечення на свій ризик, то державні органи повинні використовувати програмне забезпечення, яке відповідає чітко визначеним вимогам та не заборонено законодавством.

Які ж це вимоги? Для наочності розглянемо ці вимоги в контексті комп’ютерної програми Master:Комплексний облік для бюджетних, яка використовується для автоматизації діяльності бюджетних установ та включає облік фінансово-господарської діяльності, облік кадрів та розрахунок заробітної плати.

Визначення термінів

Відповідно до ст.1 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 р. № 80/94-ВР (далі – ЗУ про захист інформації) «… власник  системи – фізична або юридична особа,  якій належить право власності на систему…» Відповідно до  ст.1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» від 23.02 2006 р. № 3475-IV

«… державні інформаційні ресурси – систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам…»

Висновок: будь-яка державна установа є власником системи, що використовується для автоматизації його діяльності, тобто для обробки інформації. А інформаційна автоматизована система, власником якої є ця державна установа – є державним інформаційним ресурсом.

Відповідальність за забезпечення захисту інформації

Відповідно до ст.9 ЗУ про захист інформації: «Відповідальність за забезпечення захисту інформації в системі покладається на власника системи…»

Висновок: якщо державна установа використовує якесь програмне забезпечення, то тільки ця установа, а конкретно – керівник, несе відповідальність за забезпечення захисту інформації в цій системі.

Забезпечення захисту інформації в системі

Відповідно до ст.8 ЗУ про захист інформації : «…Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації…»

Засоби технічного захисту інформації, які мають експертний висновок, зазначені в Переліку засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом. Перелік розміщено на сайті Держспецзв’язку в розділі Технічний захист інформації . Перелік формується відповідно до  п. 17 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27.09.1999 р. № 1229.

Відповідно до ст.1 Вимог із захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2,  затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.12.2002 р. № 84 НД ТЗІ 2.5-008-2002 (далі – Вимоги)  «…Цей документ визначає вимоги із захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 і встановлює … мінімально необхідний перелік функціональних послуг безпеки та рівнів їх реалізації у комплексах засобів захисту інформації (стандартний функціональний профіль захищеності). Установлені цим документом вимоги застосовуються також для захисту: таємної інформації, що не становить державної таємниці;  конфіденційної інформації, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України “Про доступ до публічної інформації”; іншої інформації з обмеженим доступом, необхідність захисту якої встановлено законом; конфіденційної інформації фізичних та юридичних осіб…»

Відповідно до ст.8 Вимог «… Рівень реалізації послуг безпеки повинен бути не нижчий, ніж Г2…»

Висновок: усі державні інформаційні ресурси повинні мати експертний висновок Держспецв’язку про відповідність до вимог технічного або криптографічного захисту інформації.

Програмний продукт Master:Комплексний облік для бюджетних установ пройшов державну експертизу щодо технічного захисту інформації та отримав експертний висновок про відповідність вимогам нормативних документів з технічного захисту інформації з рівнем гарантій Г2 № 828, що зареєстрований в Адміністрації Державної служби спеціального зв’язку та захисту інформації України 17.04.2018 . Цей висновок дійсний до 17.04.2021. Наразі програмний продукт проходить державну експертизу щодо криптографічного захисту інформації.

Заборона використання програмних продуктів, виробники яких підпадають під дію санкцій

Відповідно до офіційних роз’яснень Держспецзв’язку від 17.05.2017 року вважається неприпустимим використання програмного забезпечення в інформаційних системах державних органів, виробники яких підпадають під дію санкцій , які введені в дію Указами Президента України від 15.05.2017 № 133/2017  «Про рішення Ради національної безпеки і оборони України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)»  та  від 14.05.2018 р. № 126/2018 «Про рішення Ради національної безпеки і оборони України від 2 травня 2018 року «Про застосування та скасування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)»

Виробники програмного забезпечення, які підпадають під дію санкцій:

  • ДП «Єврософтпром»
  • ТОВ «1С»
  • ТОВ «Корпорація «Парус»
  • Виробники програмної продукції «Афіна»

Ці виробники не зможуть отримати експертний висновок Держспецзв’язку на своє програмне забезпечення .

Комп’ютерні програми як об’єкти авторського права

Також при придбанні програмного забезпечення необхідно звернути увагу на те, що відповідно до ст. 8, ст. 18 Закону України «Про авторське право і суміжні права» від 23.12.1993 р. № 3792-XII  комп’ютерні програми є об’єктами авторського права і охороняються як літературні твори.

Документом, яким підтверджується авторське право на комп’ютерну програму, може бути Свідоцтво про реєстрацію авторського права або Рішення про реєстрацію договору, який стосується права автора на твір.

Що стосується програмного продукту Master:Комплексний облік для бюджетних установ  виключні майнові авторські права на комп’ютерні програми платформи MASTER належать ТОВ «МАСТЕР:ГЛОБАЛ», що підтверджується Рішенням Мінекономрозвитку про реєстрацію договору, який стосується права автора на твір № 3875 від 25.04.2018

Право постачальника здійснювати розповсюдження програмного забезпечення

Далі слід перевірити чи має право постачальник здійснювати розповсюдження програмного забезпечення. Тобто, потрібно відслідкувати усю низку документів, що стосуються права розповсюджувати даний програмний продукт, не порушуючи при цьому авторського права.

Що стосується програми MASTER:Комплексний облік для бюджетних установ ТОВ «МАСТЕР:ГЛОБАЛ» за ліцензійним договором надало ТОВ «МАСТЕР: СТРІМ» право розповсюдження примірників комп’ютерних програми платформи MASTER. У свою чергу, ТОВ «СОЛАРСОФТ» має статус сертифікованого партнера компанії «МАСТЕР:СТРІМ» та володіє правом на розповсюдження комп’ютерних програм MASTER, про що свідчить сертифікат та договір.

Національна програма інформатизації

Згідно зі  ст. 48 Бюджетного кодексу України від 08.07.2010 р. № 2456-V та з Методикою визначення належності бюджетних програм до сфери інформатизації, затвердженою наказом Державного комітету зв’язку та інформатизації України від 06.06.2003 №97  органи державної влади повинні погоджувати з Генеральним державним замовником Національної програми інформатизації проекти інформатизації, які виконуються в межах бюджетних програм, що належать до сфери інформатизації, та/або контракти (договори) на їх виконання.

Відповідно до ст. 4 постанови Кабінету Міністрів України  від 01.10.2014 р. № 492   функції Генерального державного замовника Національної програми інформатизації виконує Державне агентство з питань електронного урядування України.

Висновок: будь-яку закупівлю програмного забезпечення державна установа повинна погодити з Державне агентство з питань електронного урядування України.

Погодження являє собою офіційний лист – звернення з додатками:

  • технічне завдання або техніко-економічне обґрунтування;
  • витяг з річного плану закупівель;
  • проект договору на закупівлю.

Зміна облікової системи в обліковій політиці

При переході на нову облікову систему рекомендуємо зафіксувати це в наказі про облікову політику. Наприклад, «Основною обліковою програмою з автоматизації бухгалтерського обліку вважати «Master: Комплексний облік для бюджетних установ». Здійснити перехід на Master: Комплексний облік для бюджетних установ із інших облікових систем протягом 2019 року»

ПРИДБАННЯ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ – 4 кроки:

  1. Перевірити на сайті Держспецзв’язку, чи входить комп’ютерна програма в Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації
  2. Перевірити, чи не порушує постачальник Закону України «Про авторське право і суміжні права»
  3. Погодити закупівлю з Державним агентством з питань електронного урядування України
  4. Зафіксувати перехід на нове програмне забезпечення в наказі про облікову політику


НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here