Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень (Друге читання)
| № п.п. | Редакція, прийнята в першому читанні | Пропозиції | Висновки | Остаточна редакція |
| 0. |
З А К О Н У К Р А Ї Н И |
З А К О Н У К Р А Ї Н И |
||
| 1. |
Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень |
Про внесення змін до деяких законів України щодо обробки інформації в системах, де використовується технологія хмарних обчислень |
||
| 2. |
Верховна Рада України п о с т а н о в л я є: |
Верховна Рада України п о с т а н о в л я є: |
||
| 3. |
І. Внести зміни до таких законів України: |
І. Внести зміни до таких законів України: |
||
| 4. |
1. У Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 2005 р., № 26, ст. 347; 2009 р., № 24, ст. 296; № 32 – 33, ст. 485; 2014 р., № 17, ст. 593; № 22, ст. 801, ст. 811, ст. 816): |
1. У Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 2005 р., № 26, ст. 347; 2009 р., № 24, ст. 296; 2014 р., № 17, ст. 593, № 22, ст. 816): |
||
| 5. |
1) преамбулу доповнити словами "а також в системах хмарних обчислень"; |
-1- Данченко О.І. До підпункту 1 пункту 1 проекту: «Слова «хмарних обчислень» замінити на «, де використовується технологія хмарних обчислень» та узгодити відповідну термінологію по тексту законопроекту.» | Враховано |
1) преамбулу доповнити словами "а також у системах, де використовується технологія хмарних обчислень"; |
| 6. |
2) у статті 1: |
2) у статті 1: |
||
| 7. |
абзаци другий, третій, шостий – восьмий, дванадцятий, чотирнадцятий – сімнадцятий викласти в такій редакції: |
абзаци другий, третій, шостий – восьмий і дванадцятий викласти в такій редакції: |
||
| 8. |
"блокування інформації в системі чи системі хмарних обчислень – дії, внаслідок яких унеможливлюється доступ до інформації в системі чи системі хмарних обчислень; |
"блокування інформації в системі чи системі, де використовується технологія хмарних обчислень, – дії, внаслідок яких унеможливлюється доступ до інформації в системі чи системі, де використовується технологія хмарних обчислень; |
||
| 9. |
виток інформації – результат дій, внаслідок яких інформація в системі чи системі хмарних обчислень стає відомою чи доступною суб'єктам, що не мають права доступу до неї; |
виток інформації – результат дій, внаслідок яких інформація в системі чи системі, де використовується технологія хмарних обчислень, стає відомою чи доступною суб'єктам, що не мають права доступу до неї"; |
||
| 10. |
"доступ до інформації в системі чи системі хмарних обчислень – отримання користувачем можливості обробляти інформацію в системі чи системі хмарних обчислень; |
"доступ до інформації в системі чи системі, де використовується технологія хмарних обчислень, – отримання користувачем можливості обробляти інформацію в системі чи системі, де використовується технологія хмарних обчислень; |
||
| 11. |
захист інформації в системі чи системі хмарних обчислень – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі чи системі хмарних обчислень; |
захист інформації в системі чи системі, де використовується технологія хмарних обчислень, – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі чи системі, де використовується технологія хмарних обчислень; |
||
| 12. |
знищення інформації в системі чи системі хмарних обчислень – дії, внаслідок яких інформація в системі чи системі хмарних обчислень зникає"; |
знищення інформації в системі чи системі, де використовується технологія хмарних обчислень, – дії, внаслідок яких інформація в системі чи системі, де використовується технологія хмарних обчислень, зникає"; |
||
| 13. |
"користувач інформації в системі чи системі хмарних обчислень (далі – користувач) – фізична або юридична особа, яка відповідно до законодавства має або якій в установленому законодавством порядку надано право доступу до інформації в системі чи системі хмарних обчислень"; |
"користувач інформації в системі чи системі, де використовується технологія хмарних обчислень (далі – користувач) – фізична або юридична особа, яка відповідно до законодавства має або якій в установленому законодавством порядку надано право доступу до інформації в системі чи системі, де використовується технологія хмарних обчислень"; |
||
| 14. |
"несанкціоновані дії щодо інформації в системі чи системі хмарних обчислень – дії, що провадяться з порушенням установленого відповідно до законодавства порядку доступу до інформації в системі чи системі хмарних обчислень; |
"несанкціоновані дії щодо інформації в системі чи системі, де використовується технологія хмарних обчислень, – дії, що провадяться з порушенням установленого відповідно до законодавства порядку доступу до інформації в системі чи системі, де використовується технологія хмарних обчислень; |
||
| 15. |
обробка інформації в системі чи системі хмарних обчислень – виконання однієї або кількох операцій, пов'язаних із збиранням, введенням, записуванням, накопиченням, перетворенням, зміною, адаптуванням, поновленням, зчитуванням, зберіганням, знищенням, реєстрацією, прийманням, отриманням, передаванням інформації, які здійснюються в системі чи системі хмарних обчислень за допомогою технічних і програмних засобів; |
обробка інформації в системі чи системі, де використовується технологія хмарних обчислень, – виконання однієї або кількох операцій, пов'язаних із збиранням, введенням, записуванням, накопиченням, перетворенням, зміною, адаптуванням, поновленням, зчитуванням, зберіганням, знищенням, реєстрацією, прийманням, отриманням, передаванням інформації, які здійснюються в системі чи системі, де використовується технологія хмарних обчислень, за допомогою технічних і програмних засобів; |
||
| 16. |
порушення цілісності інформації в системі чи системі хмарних обчислень – несанкціоновані дії щодо інформації в системі чи системі хмарних обчислень, внаслідок яких змінюється її вміст; |
порушення цілісності інформації в системі чи системі, де використовується технологія хмарних обчислень, – несанкціоновані дії щодо інформації в системі чи системі, де використовується технологія хмарних обчислень, внаслідок яких змінюється її вміст; |
||
| 17. |
порядок доступу до інформації в системі чи системі хмарних обчислень – умови отримання користувачем можливості обробляти інформацію в системі чи системі хмарних обчислень та правила обробки цієї інформації"; |
порядок доступу до інформації в системі чи системі, де використовується технологія хмарних обчислень – умови отримання користувачем можливості обробляти інформацію в системі чи системі, де використовується технологія хмарних обчислень, та правила обробки цієї інформації"; |
||
| 18. |
доповнити статтю абзацами двадцятим та двадцять першим такого змісту: |
|||
| 19. |
"надавач хмарних послуг – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), яка відповідно до договору, укладеного з володільцем інформації або власником системи, бере зобов’язання зі здійснення обробки інформації в системі хмарних обчислень та/або надає із використанням системи хмарних обчислень доступ до використання: прикладних програм, які запускаються у системі хмарних обчислень; обчислювальної платформи (операційної системи, системи управління базою даних або пакету програмних продуктів, що забезпечує реалізацію задач автоматизації процесів шляхом налаштувань чи з використанням вбудованих засобів програмування тощо), на основі якої можна розгортати власне або створене іншими особами прикладне програмне забезпечення, а також бази даних, що підтримуються системою; інфраструктури (ресурсів для обробки, зберігання інформації, обладнання мереж та інших обчислювальних ресурсів), на основі якої можна розгортати та запускати вільно обране програмне забезпечення, включаючи операційні системи та прикладні програми"; |
-2- Тимошенко Ю.В. До абзацу чотирнадцятого підпункту 2 пункту 1 проекту: «викласти в наступній редакції: «надавач хмарних послуг – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент, за винятком резидента держави, визнаної Верховною Радою України державою-агресором, а також держави, щодо якої застосовані санкції відповідно до Закону України «Про санкції», яка відповідно до договору, укладеного з володільцем інформації або власником системи, бере зобов’язання зі здійснення обробки інформації в системі хмарних обчислень та/або надає із використанням системи хмарних обчислень доступ до використання: прикладних програм, які запускаються у системі хмарних обчислень; обчислювальної платформи (операційної системи, системи управління базою даних або пакету програмних продуктів, що забезпечує реалізацію задач автоматизації процесів шляхом налаштувань чи з використанням вбудованих засобів програмування тощо), на основі якої можна розгортати власне або створене іншими особами прикладне програмне забезпечення, а також бази даних, що підтримуються системою; інфраструктури (ресурсів для обробки, зберігання інформації, обладнання мереж та інших обчислювальних ресурсів), на основі якої можна розгортати та запускати вільно обране програмне забезпечення, включаючи операційні системи та прикладні програми;» | Враховано редакційно |
після абзацу тринадцятого доповнити навим абзацом такого змісту: "надавач хмарних послуг – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), крім осіб, які є резидентами держав, визнаних Верховною Радою України державами-агресорами, а також держав та інших суб’єктів, щодо яких застосовані санкції відповідно до Закону України "Про санкції", яка відповідно до договору, укладеного з володільцем інформації або власником системи, бере зобов’язання із здійснення обробки інформації в системі, де використовується технологія хмарних обчислень, та/або надає з використанням технології хмарних обчислень доступ до використання: прикладних програм, які запускаються у системі, де використовується технологія хмарних обчислень; обчислювальної платформи (операційної системи, системи управління базою даних або пакета програмних продуктів, що забезпечує реалізацію задач автоматизації процесів шляхом налаштувань чи з використанням вбудованих засобів програмування тощо), на основі якої можна розгортати власне або створене іншими особами прикладне програмне забезпечення, а також бази даних, що підтримуються системою; інфраструктури (ресурсів для обробки, зберігання інформації, обладнання мереж та інших обчислювальних ресурсів), на основі якої можна розгортати та запускати вільно обране програмне забезпечення, включаючи операційні системи та прикладні програми"; У зв’язку з цим абзаци чотирнадцятий – дев’ятнадцятий вважати відповідно абзацами п’ятнадцятим – двадцятим; |
| -3- Гуляєв В.О. До абзацу чотирнадцятого підпункту 2 пункту 1 проекту: «викласти в наступній редакції: Надавач доступу до системи хмарних обчислень - фізична або юридична особа, відповідальна за здійснення обробки інформації систем і хмарних обчислень відповідно до договору, укладеного з володільцем інформації.» та доповнити наступними абзацами: Користувач хмари — особа або організація, яка підтримує ділові відносини з постачальниками хмарних послуг і використовує їх сервіси. Провайдер хмарних послуг — особа або організація відповідальна за створення та управляння хмарою та її службами. Провайдер також займається підтримкою інфраструктури та програмного забезпечення, яке забезпечує роботу хмари. Провайдер доступу до хмарних послуг - посередник, який забезпечує підключення і транспортування хмарних послуг від хмари до споживачів.» | Відхилено | |||
| 20. |
"система хмарних обчислень – система, в якій реалізується модель забезпечення дистанційного доступу на вимогу до спільної сукупності динамічно розподілюваних та налаштовуваних обчислювальних ресурсів (включаючи внутрішньосистемні мережі, сервери, сховища даних, прикладні програми та послуги), які можуть бути оперативно надані і вивільнені, через глобальні мережі передачі даних із мінімальними управлінськими діями та/або мінімальною взаємодією з надавачем хмарних послуг"; |
-4- Данченко О.І. До абзацу п’ятнадцятого підпункту 2 пункту 1 проекту: «Слово «модель» змінити на «технологія» | Враховано редакційно |
після абзацу вісімнадцятого доповнити новим абзацом такого змісту: "система, де використовується технологія хмарних обчислень, – система, в якій реалізується технологія забезпечення дистанційного доступу на вимогу до спільної сукупності динамічно розподілюваних та налаштовуваних обчислювальних ресурсів (включаючи внутрішньосистемні мережі, сервери, сховища даних, прикладні програми та послуги), які можуть бути оперативно надані та вивільнені, через глобальні мережі передачі даних з мінімальними управлінськими діями та/або мінімальною взаємодією з надавачем хмарних послуг". У зв’язку з цим абзаци дев’ятнадцятий і двадцятий вважати відповідно абзацами двадцятим і двадцять першим; |
| -5- Матузко О.О. До абзацу п’ятнадцятого підпункту 2 пункту 1 проекту: «Слово «модель» замінити на слово «технологія» | Враховано редакційно | |||
| -6- Семенуха Р.С. До абзацу п’ятнадцятого підпункту 2 пункту 1 проекту: «Слово «модель» замінити на слово «технологія» | Враховано редакційно | |||
| -7- Бондар В.В. До підпункту 2 пункту 1 проекту: «статтю доповнити новим абзацом такого змісту: авторизований електронний майданчик — авторизована інформаційно-телекомунікаційна система, яка є частиною електронної системи та забезпечує реєстрацію осіб, автоматичне розміщення, отримання і передання інформації та документів, користування сервісами з автоматичним обміном інформацією, доступ до якого здійснюється за допомогою мережі Інтернет;» | Відхилено | |||
| -8- Гуляєв В.О. До абзацу п’ятнадцятого підпункту 2 пункту 1 проекту: «викласти у наступній редакції: Система хмарних обчислень — система хмарних обчислень — система, в якій реалізується модель забезпечення доступу на вимогу до спільної сукупності динамічно розподілюваних налаштовуваних обчислювальних ресурсів (включаючи внутрішньосистемні мережі, сервери, сховища даних, прикладні програми та послуги), що можуть бути оперативно надані і вивільнені, через глобальні мережі передачі даних із мінімальними управлінськими заходами та/або мінімальною взаємодією з надавачем хмарних послуг; Встановлення переліку інформації, що може оброблятись в системах хмарних обчислень - відкрита інформація, що належить до державних інформаційних ресурсів, а також конфіденційна інформація та таємна інформація, яка не становить державної таємниці, в тому числі такі, що належать до державних інформаційних ресурсів ;» | Відхилено | |||
| 21. |
3) назву та частину першу статті 2 після слова "системі" доповнити словами "чи системі хмарних обчислень"; |
3) назву і текст статті 2 після слова "системі" доповнити словами "чи системі, де використовується технологія хмарних обчислень"; |
||
| 22. |
4) в частині першій статті 3: |
4) у частині першій статті 3: |
||
| 23. |
абзац перший після слова "системах" доповнити словами "чи системах хмарних обчислень"; |
абзац перший після слова "системах" доповнити словами "чи системах, де використовується технологія хмарних обчислень"; |
||
| 24. |
після абзацу третього доповнити новим абзацом такого змісту: |
після абзацу третього доповнити новим абзацом такого змісту: |
||
| 25. |
"надавачі хмарних послуг". |
"надавачі хмарних послуг". |
||
| 26. |
У зв'язку з цим абзаци четвертий і п'ятий вважати відповідно абзацами п'ятим і шостим; |
У зв'язку з цим абзаци четвертий – шостий вважати відповідно абзацами п'ятим – сьомим; |
||
| 27. |
5) у статті 4: |
5) у статті 4: |
||
| 28. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
назву статті доповнити словами "чи системі, де використовується технологія хмарних обчислень"; |
||
| 29. |
після частини другої доповнити новою частиною такого змісту: |
після частини другої доповнити новою частиною такого змісту: |
||
| 30. |
"Порядок доступу до інформації, яка обробляється в системі хмарних обчислень, визначається у договорі, укладеному між надавачем хмарних послуг та володільцем інформації або власником системи. |
-9- Семенуха Р.С. До абзацу четвертого підпункту 5 пункту 1 проекту: «викласти в такій редакції: «Порядок доступу до інформації, яка обробляється в системі хмарних обчислень, визначається законодавством і може бути додатково врегульований у договорі, укладеному між надавачем хмарних послуг та володільцем інформації або власником системи».» | Враховано редакційно |
"Порядок доступу до інформації, яка обробляється в системі, де використовується технологія хмарних обчислень, визначається у договорі про надання хмарних послуг, укладеному між надавачем хмарних послуг та володільцем інформації або власником системи з урахуванням вимог цього Закону". |
| 31. |
У зв'язку з цим частину третю вважати частиною четвертою"; |
У зв'язку з цим частину третю вважати частиною четвертою"; |
||
| 32. |
6) у статті 5: |
6) у статті 5: |
||
| 33. |
назву статті викласти в такій редакції: |
назву викласти в такій редакції: |
||
| 34. |
"Стаття 5. Відносини між володільцем інформації та власником системи, володільцем інформації або власником системи та надавачем хмарних послуг"; |
"Стаття 5. Відносини між володільцем інформації та власником системи, володільцем інформації або власником системи та надавачем хмарних послуг"; |
||
| 35. |
доповнити статтю частиною третьою такого змісту: |
-10- Бондар В.В. До абзацу четвертого підпункту 6 пункту 1 проекту: «у абзаці четвертому слова «частиною третьою» замінити словами «частинами третьою - четвертою»;» | Відхилено |
доповнити частиною третьою такого змісту: |
| 36. |
"Надавач хмарних послуг забезпечує захист інформації в системі хмарних обчислень, а також надання володільцю інформації або власнику системи відомостей щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак, в порядку та на умовах, визначених цим Законом та договором щодо надання хмарних послуг"; |
-11- Бондар В.В. До абзацу п’ятого підпункту 6 пункту 1 проекту: «у абзаці п’ятому слова «та договором щодо надання хмарних послуг» виключити;» | Відхилено |
"Надавач хмарних послуг забезпечує захист інформації в системі, де використовується технологія хмарних обчислень, а також надання володільцю інформації або власнику системи відомостей щодо захисту інформації в системі, де використовується технологія хмарних обчислень, від внутрішніх та зовнішніх загроз, кібератак у порядку та на умовах, визначених цим Законом та договором про надання хмарних послуг"; |
| -12- Бондар В.В. До підпункту 6 пункту 1 проекту: «доповнити абзацом такого змісту: Інформаційно-телекомунікаційна система (авторизований електронний майданчик) самостійно визначає необхідність та види забезпечення гарантій виконання зобов’язань володільцем інформації (у тому числі шляхом страхування цивільно-правової відповідальності) відповідно до цивільного законодавства.»;» | Відхилено | |||
| 37. |
7) у статті 6: |
7) у статті 6: |
||
| 38. |
назву статті викласти в такій редакції: |
назву викласти в такій редакції: |
||
| 39. |
"Стаття 6. Відносини між власником системи та користувачем, надавачем хмарних послуг та користувачем"; |
"Стаття 6. Відносини між власником системи та користувачем, надавачем хмарних послуг та користувачем"; |
||
| 40. |
доповнити статтю частиною другою такого змісту: |
доповнити частиною другою такого змісту: |
||
| 41. |
"Надавач хмарних послуг надає користувачеві відомості про правила і режим роботи системи хмарних обчислень та забезпечує йому відповідно до визначеного договором порядку доступ до інформації в цій системі ."; |
"Надавач хмарних послуг надає користувачеві відомості про правила і режим роботи системи, де використовується технологія хмарних обчислень, та забезпечує йому відповідно до визначеного договором про надання хмарних послуг порядку доступ до інформації в цій системі"; |
||
| 42. |
8) у статті 8: |
8) у статті 8: |
||
| 43. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
назву доповнити словами "чи системі, де використовується технологія хмарних обчислень"; |
||
| 44. |
доповнити статтю частиною четвертою такого змісту: |
-13- Бондар В.В. У абзаці третьому підпункту 8 пункту 1 проекту слова «частиною четвертою» замінити словами «частинами четвертою - п’ятою»; | Відхилено |
доповнити частиною четвертою такого змісту: |
| 45. |
"Умови обробки та захисту окремих видів інформації в системі хмарних обчислень визначаються у договорі відповідно до статті 9-1 цього Закону"; |
-14- Бондар В.В. Доповнити підпункту 8 пункту 1 проекту: «доповнити абзацом такого змісту: Авторизований електронний майданчик, у тому числі з використанням системи хмарних обчислень, повинен мати комплексну систему захисту інформації відповідно до вимог частин другої та третьої статті 8, статті 9 цього Закону.». | Відхилено |
"Умови обробки та захисту окремих видів інформації в системі, де використовується технологія хмарних обчислень, визначаються договором про надання хмарних послуг відповідно до статті 9-1 цього Закону. Забороняється обробка інформації, яка в установленому порядку віднесена до такої, що становить державну таємницю, службової інформації та інформації, що стосується систем керування об’єктів критичної інфраструктури в системі, де використовується технологія хмарних обчислень"; |
| 46. |
9) у статті 9: |
9) у статті 9: |
||
| 47. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
назву доповнити словами "чи системі, де використовується технологія хмарних обчислень"; |
||
| 48. |
частину першу доповнити словами "а в системі хмарних обчислень – на надавача хмарних послуг"; |
-15- Левченко Ю.В. До абзацу третього підпункту 9 пункту 1 проекту: «викласти у наступній редакції: частину першу доповнити словами "а в системі хмарних обчислень - на надавача хмарних послуг та власника системи;» | Враховано редакційно |
частину першу доповнити словами "а в системі, де використовується технологія хмарних обчислень, - на надавача хмарних послуг та власника системи"; |
| 49. |
в частині третій слова "спроби та/або" виключити; |
-16- Матузко О.О. До абзацу четвертого підпункту 9 пункту 1 проекту: «Слова «в частині третій слова "спроби та/або" виключити;» видалити» | Враховано редакційно |
у частині третій слова "Про спроби" замінити словами «Про виявлені спроби»; |
| -17- Семенуха Р.С. До абзацу четвертого підпункту 9 пункту 1 проекту: Виключити | Враховано редакційно | |||
| 50. |
доповнити статтю новою частиною такого змісту: |
доповнити частиною четвертою такого змісту: |
||
| 51. |
"Про факти несанкціонованих дій у системі хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації, яка обробляється в цій системі, надавач хмарних послуг повідомляє володільця відповідної інформації або власника відповідної системи"; |
"Про факти несанкціонованих дій у системі, де використовується технологія хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації, яка обробляється в цій системі, надавач хмарних послуг повідомляє володільця відповідної інформації або власника відповідної системи"; |
||
| 52. |
10) доповнити статтею 9-1 такого змісту: |
10) доповнити статтею 9-1 такого змісту: |
||
| 53. |
"Стаття 9-1. Обробка та захист інформації в системі хмарних обчислень |
"Стаття 9-1. Обробка та захист інформації в системі, де використовується технологія хмарних обчислень |
||
| 54. |
Інформація, у тому числі інформація з обмеженим доступом (крім інформації, яка в установленому порядку віднесена до державної таємниці), якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації може оброблятися в системі хмарних обчислень на підставі договору, укладеного між надавачем хмарних послуг та володільцем інформації або власником системи. |
-18- Данченко О.І. До абзацу третього підпункту 10 пункту 1 проекту: «Після слів «віднесена до державної таємниці» доповнити словами «або службової інформації» | Враховано редакційно |
Інформація, якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації, може оброблятися в системі, де використовується технологія хмарних обчислень, на підставі договору про надання хмарних послуг, укладеного між надавачем хмарних послуг та володільцем інформації або власником системи, за умови що система, де використовується технологія хмарних обчислень, не знаходиться на території держав, визнаних Верховною Радою України державами-агресорами, а також держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції". Спеціальні правила, передбачені цією статтею, не поширюються на обробку інформації, яка в установленому порядку віднесена до такої, що становить державну таємницю, службової інформації та інформації, що стосується систем керування об’єктів критичної інфраструктури. |
| -19- Матузко О.О. До абзацу третього підпункту 10 пункту 1 проекту: «Після слів «віднесена до державної таємниці» додати слова «або службової інформації» | Враховано редакційно | |||
| -20- Семенуха Р.С. До абзацу третього підпункту 10 пункту 1 проекту: Після слів «віднесена до державної таємниці» додати слова «або службової інформації» | Враховано редакційно | |||
| -21- Сольвар Р.М. До підпункту 10 пункту 1 проекту: «доповнити новим абзацом такого змісту: Забороняється оброблення відомостей із використанням хмарних послуг через мережу Інтернет, що становлять державну таємницю та службову інформацію, а також технологічну інформацію інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури.» | Враховано редакційно | |||
| -22- Козир Б.Ю. До підпункту 10 пункту 1 проекту: «Не допускається оброблення інформації з обмеженим доступом, що є власністю держави, у системах хмарних обчислень, сполучених з мережею Інтернет, або побудованих на основі обладнання, частково чи повністю розташованого за межами України.» | Враховано редакційно | |||
| -23- Гуляєв В.О. До абзацу третього підпункту 10 пункту 1 проекту: «викласти у наступній редакції: Інформація, у тому числі інформація з обмеженим доступом (крім інформації, яка в установленому порядку віднесена до державної таємниці), якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації може оброблятися в системі хмарних обчислень на підставі: - наявності у системи дійсного сертифіката відповідності вимогам міжнародного та національного стандарту у сфері захисту інформації, виданого акредитованим вітчизняним чи іноземним органом сертифікації; - наявності договору, укладеного між надавачем доступу до системи хмарних обчислень та володільцем інформації який повинен містити зобов’язання надавача щодо забезпечення захисту інформації від несанкціонованих дій, які можуть призвести до її випадкової або умисної зміни, втрати чи знищення.» Кабінету Міністрів України у тримісячний термін з дня набрання чинності цим Законом розробити стандарти складання договорів між користувачем та постачальником хмарних послуг, передбачені цим Законом.» | Враховано частково | |||
| -24- Левченко Ю.В. До підпункту 10 пункту 1 проекту: «абзац доповнити текстом: та за умови, що система хмарних обчислень надавала хмарних послуг знаходиться на території України.» | Враховано частково | |||
| 55. |
Договір між надавачем хмарних послуг та володільцем інформації або власником системи має містити такі умови: |
Договір про надання хмарних послуг між надавачем хмарних послуг та володільцем інформації або власником системи укладається у письмовій або електронній формі та має містити такі умови: |
||
| 56. |
предмет договору та строк його дії; |
предмет договору та строк його дії; |
||
| 57. |
ціна послуг, порядок, строки і розміри платежів; |
ціна послуг, порядок, строки і розміри платежів; |
||
| 58. |
порядок обробки та захисту інформації в системі хмарних обчислень; |
-25- Бондар В.В. До абзацу сьомого підпункту 10 пункту 1 проекту: «абзац доповнити словами «відповідно до вимог цього Закону;» | Враховано |
порядок обробки та захисту інформації в системі, де використовується технологія хмарних обчислень, відповідно до вимог цього Закону; |
| 59. |
порядок доступу користувачів до інформації, яка обробляється в системі хмарних обчислень; |
порядок доступу користувачів до інформації, яка обробляється в системі, де використовується технологія хмарних обчислень; |
||
| 60. |
зобов'язання надавача хмарних послуг щодо вжиття заходів, спрямованих на запобігання несанкціонованим діям щодо інформації в системі хмарних обчислень; |
зобов'язання надавача хмарних послуг щодо вжиття заходів, спрямованих на запобігання несанкціонованим діям щодо інформації в системі, де використовується технологія хмарних обчислень; |
||
| 61. |
порядок надання надавачем хмарних послуг володільцю інформації або власнику системи відомостей щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак; |
-26- Бондар В.В. До абзацу десятого підпункту 10 пункту 1 проекту: «абзац доповнити словами «відповідно до вимог цього Закону;» | Враховано |
порядок надання надавачем хмарних послуг володільцю інформації або власнику системи відомостей щодо захисту інформації в системі, де використовується технологія хмарних обчислень, від внутрішніх та зовнішніх загроз, кібератак відповідно до вимог цього Закону; |
| 62. |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про факти несанкціонованих дій у системі хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації; |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про факти несанкціонованих дій у системі, де використовується технологія хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації; |
||
| 63. |
порядок та умови надання володільцям інформації або власникам системи надавачем хмарних послуг доступу до використання обчислювальної платформи, інфраструктури, а також прикладних програм, у тому числі тих, що запускаються в системі хмарних обчислень із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг; |
порядок та умови надання володільцям інформації або власникам системи надавачем хмарних послуг доступу до використання обчислювальної платформи, інфраструктури, а також прикладних програм, у тому числі тих, що запускаються в системі, де використовується технологія хмарних обчислень, із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг; |
||
| 64. |
порядок отримання володільцем інформації або власником системи інформації, яка оброблялась в системі хмарних обчислень, у випадку припинення надання хмарних послуг; |
порядок отримання володільцем інформації або власником системи інформації, яка оброблялася в системі, де використовується технологія хмарних обчислень, у разі припинення надання хмарних послуг; |
||
| 65. |
порядок видалення інформації із системи хмарних обчислень; |
порядок видалення інформації з системи, де використовується технологія хмарних обчислень; |
||
| 66. |
вимоги до середнього часу безперебійної роботи системи хмарних обчислень; |
вимоги до середнього часу безперебійної роботи системи, де використовується технологія хмарних обчислень; |
||
| 67. |
порядок здійснення надавачем хмарних послуг резервного копіювання інформації; |
порядок здійснення надавачем хмарних послуг резервного копіювання інформації; |
||
| 68. |
гарантії надавача хмарних послуг щодо недопущення обробки інформації в системі хмарних обчислень на територіях держав, визнаних Верховною Радою України державами-агресорами, а також держав щодо яких застосовані санкції відповідно до Закону України "Про санкції"; |
гарантії надавача хмарних послуг щодо недопущення обробки інформації в системі, де використовується технологія хмарних обчислень, на територіях держав, визнаних Верховною Радою України державами-агресорами, а також держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції"; |
||
| 69. |
відповідальність сторін договору; |
відповідальність сторін договору; |
||
| 70. |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про можливі зміни в істотних умовах договору; |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про можливі зміни в істотних умовах договору; |
||
| 71. |
інші умови щодо яких сторонами договору досягнуто згоди. |
інші умови, щодо яких сторонами договору досягнуто згоди. |
||
| 72. |
Якщо інше не передбачено договором, надавач хмарних послуг може залучати третіх осіб до виконання своїх зобов’язань за договором, який укладається із володільцем інформації або власником системи. |
Якщо інше не передбачено договором, надавач хмарних послуг може залучати третіх осіб до виконання своїх зобов’язань за договором, що укладається з володільцем інформації або власником системи. |
||
| 73. |
Обробка інформації, якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації, в системі хмарних обчислень допускається лише за умови підтвердження належного рівня захисту інформації в такій системі згідно з вимогами цієї статті. Належний рівень захисту інформації в системі хмарних обчислень підтверджується наявністю дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, вимогам стандарту ІSО/ІЕС 27001 або ДСТУ ІSО/ІЕС 27001, або інших стандартів, якими їх замінено, виданого національним чи іноземним органом або організацією з оцінки відповідності, акредитованими національним органом України з акредитації або іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (Іntеrnаtіоnаl Ассrеdіtаtіоn Fоrum) та/або Європейської кооперації з акредитації (Еurореаn Со-ореrаtіоn fоr Ассrеdіtаtіоn), відповідно до стандарту ІSО/ІЕС 17021 або ДСТУ ІSО/ІЕС 17021, або інших стандартів, якими їх замінено. |
-27- Левченко Ю.В. До абзацу двадцять другого підпункту 10 пункту 1 проекту: «перше речення абзацу доповнити словами: «та за умови, що система хмарних обчислень надавача хмарних послуг знаходиться на території України».» | Враховано частково |
Обробка інформації, якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації, в системі, де використовується технологія хмарних обчислень, допускається лише за умови підтвердження належного рівня захисту інформації в такій системі згідно з вимогами цієї статті та за умови, що система, де використовується технологія хмарних обчислень, не знаходиться на території держав, визнаних Верховною Радою України державами-агресорами, а також держав та інших суб’єктів, щодо яких застосовані санкції відповідно до Закону України "Про санкції". Належний рівень захисту інформації в системі, де використовується технологія хмарних обчислень, підтверджується наявністю дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційної безпеки, що застосовується при обробці інформації в системі, де використовується технологія хмарних обчислень, вимогам міжнародного стандарту (Міжнародної організації із стандартизації / Міжнародної електротехнічної комісії) ІSО/ІЕС 27001 або національного стандарту ДСТУ ІSО/ІЕС 27001, або інших стандартів, якими їх замінено, виданих національним чи іноземним органом або організацією з оцінки відповідності, акредитованими національним органом України з акредитації або іноземним органом з акредитації, який є стороною Багатосторонньої угоди про визнання (МLА) Міжнародного форуму з акредитації (ІАF) та/або Європейської кооперації з акредитації (ЕА), відповідно до міжнародного стандарту ІSО/ІЕС 17021 або національного стандарту ДСТУ ІSО/ІЕС 17021, або інших стандартів, якими їх замінено. |
| 74. |
У разі, коли надавач хмарних послуг надає користувачам доступ до використання прикладних програм, що запускаються в системі хмарних обчислень із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг, належний рівень захисту інформації підтверджується наявністю у таких надавачів хмарних послуг дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою вимогам, визначеним у частині третій цієї статті. У цьому разі в договорі між надавачем хмарних послуг, який надає доступ до використання прикладних програм, та володільцем інформації або власником системи повинні бути визначені гарантії надавача хмарних послуг щодо наявності у нього працівників відповідної кваліфікації, які мають достатні знання та досвід, необхідні для надання хмарних послуг, а також щодо наявності у нього можливості використання для цілей укладеного договору системи хмарних обчислень, яка має належний рівень захисту інформації. |
-28- Данченко О.І. До абзацу двадцять третього підпункту 10 пункту 1 проекту: «Слово «третій» замінити словом «четвертій» | Враховано |
У разі якщо надавач хмарних послуг надає користувачам доступ до використання прикладних програм, що запускаються в системі, де використовується технологія хмарних обчислень, із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг, належний рівень захисту інформації підтверджується наявністю у таких надавачів хмарних послуг дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційної безпеки вимогам, визначеним частиною четвертою цієї статті. У такому разі в договорі про надання хмарних послуг між надавачем хмарних послуг, який надає доступ до використання прикладних програм, та володільцем інформації або власником системи визначаються гарантії надавача хмарних послуг щодо наявності у нього працівників відповідної кваліфікації, які мають достатні знання та досвід, необхідні для надання хмарних послуг, а також щодо наявності у нього можливості використання для цілей укладеного договору системи, де використовується технологія хмарних обчислень, яка має належний рівень захисту інформації. |
| 75. |
Система хмарних обчислень, належний рівень захисту інформації в якій підтверджено відповідно до вимог цієї статті, вважається такою, захист інформації в якій відповідає вимогам частини другої та третьої статті 8 цього Закону. В такому випадку підтвердження відповідності та проведення державної експертизи, передбачених статтею 8 цього Закону не вимагається. |
-29- Данченко О.І. До абзацу двадцять четвертого підпункту 10 пункту 1 проекту: «Друге речення викласти в наступній редакції «В такому випадку для засобів технічного або криптографічного захисту інформації, що входять до складу такої системи хмарних обчислень, не вимагається одержання сертифікату відповідності або експертного висновку за результатами державної експертизи у сфері технічного або криптографічного захисту інформації згідно з вимогами частини третьої статті 8 цього Закону, а при проведенні державної експертизи комплексної системи захисту інформації згідно з частиною другою статті 8 цього Закону перевірка системи хмарних обчислень та її елементів не проводиться» | Враховано |
Система, де використовується технологія хмарних обчислень, належний рівень захисту інформації в якій підтверджено відповідно до вимог цієї статті, вважається такою, захист інформації в якій відповідає вимогам частин другої і третьої статті 8 цього Закону. У такому разі для засобів технічного або криптографічного захисту інформації, що входять до складу такої системи, де використовується технологія хмарних обчислень, не вимагається одержання сертифіката відповідності або експертного висновку за результатами державної експертизи у сфері технічного або криптографічного захисту інформації згідно з вимогами частини третьої статті 8 цього Закону, а при проведенні державної експертизи комплексної системи захисту інформації згідно з частиною другою статті 8 цього Закону перевірка системи, де використовується технологія хмарних обчислень, та її елементів не проводиться. |
| 76. |
У разі підтвердження належного рівня захисту інформації в системі хмарних обчислень відповідно до вимог цієї статті, контроль за забезпеченням захисту інформації в такій системі здійснюється винятково під час перевірки володільця інформації або власника системи в частині підтвердження факту укладення між ним та надавачем хмарних послуг договору згідно з вимогами, встановленими цією статтею, та наявності у системи хмарних обчислень дійсного сертифіката відповідності вимогам міжнародного та/або національного стандарту у сфері захисту інформації, як це вимагається цією статтею. |
-30- Данченко О.І. До абзацу двадцять п’ятого підпункту 10 пункту 1 проекту: «Слова «такій системі» замінити словами «частині такої системи хмарних обчислень» | Враховано редакційно |
У разі підтвердження належного рівня захисту інформації в системі, де використовується технологія хмарних обчислень, відповідно до вимог цієї статті контроль за забезпеченням захисту інформації в частині такої системи, де використовується технологія хмарних обчислень, здійснюється виключно під час перевірки володільця інформації або власника системи в частині підтвердження факту укладення між ним та надавачем хмарних послуг договору згідно з вимогами, встановленими цією статтею, та наявності у системи, де використовується технологія хмарних обчислень, дійсного сертифіката відповідності вимогам міжнародного та/або національного стандарту у сфері менеджменту інформаційної безпеки відповідно до цієї статті. |
| 77. |
У разі непідтвердження належного рівня захисту інформації в системі хмарних обчислень відповідно до вимог частин третьої та четвертої цієї статті надання хмарних послуг здійснюється відповідно до статті 8 цього Закону. |
-31- Данченко О.І. До абзацу двадцять шостого підпункту 10 пункту 1 проекту: «Слова «третьої та четвертої» замінити словами «четвертої та п’ятої» | Враховано |
У разі непідтвердження належного рівня захисту інформації в системі, де використовується технологія хмарних обчислень, відповідно до вимог частин четвертої і п’ятої цієї статті надання хмарних послуг здійснюється відповідно до статті 8 цього Закону. |
| 78. |
Порядок здійснення криптографічного захисту інформації, яка передається до системи хмарних обчислень у зв'язку із наданням хмарних послуг володільцю інформації чи власнику системи, визначається Кабінетом Міністрів України. |
Порядок здійснення криптографічного захисту інформації, яка передається до системи, де використовується технологія хмарних обчислень, у зв'язку з наданням хмарних послуг володільцю інформації чи власнику системи, визначається Кабінетом Міністрів України. |
||
| 79. |
Особливості використання банками систем хмарних обчислень встановлюються Національним банком України. |
-32- Бондар В.В. До абзацу двадцять восьмого підпункту 10 пункту 1 проекту: «Положення цієї статті щодо захисту інформації в системі хмарних обчислень не поширюються на системи хмарних обчислень, що використовуються авторизованими електронними майданчиками» | Відхилено |
Особливості використання банками систем, де використовується технологія хмарних обчислень, встановлюються Національним банком України"; |
| 80. |
11) частину п'яту статті 10 після слова "системах" доповнити словами "чи системах хмарних обчислень"; |
-33- Бондар В.В. До підпункту 11 пункту 1 проекту: «Частину третю доповнити абзацом сьомим такого змісту: «у випадку невідповідності та/або відсутності у авторизованого електронного майданчика комплексної системи захисту інформації з підтвердженою відповідністю та/або невикористання засобів захисту інформації відповідно до вимог частини другої та третьої статті 8 цього Закону, - надсилає подання про скасування авторизації. Орган, що здійснює авторизацію електронних майданчиків, впродовж 3 робочих днів зобов’язаний скасувати авторизацію такого електронного майданчика. частину п’яту після слова «система» доповнити словами «чи система хмарних обчислень» | Відхилено |
11) частину п'яту статті 10 після слова "системах" доповнити словами "чи системах, де використовується технологія хмарних обчислень". |
| 81. |
2. Частину третю статті 4 Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; 2013 р., № 51, ст. 715) доповнити словами "а у разі обробки інформації в системі хмарних обчислень – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), яка відповідно до договору щодо надання хмарних послуг здійснює обробку інформації в системі хмарних обчислень". |
-34- Бондар В.В. Розділ І доповнити пунктом 3 такого змісту: «3. У частині другій статті 15 Закону України «Про електронні документи та електронний документообіг» після слів «державні інформаційні ресурси» доповнити словами « (у тому числі в авторизованих електронних майданчиках з/без використанням системи хмарних обчислень), слова «відповідно до законодавства» замінити словами «відповідно до вимог частини другої та третьої статті 8, статті 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах». | Відхилено |
2. Частину третю статті 4 Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; 2013 р., № 51, ст. 715) доповнити словами "а в разі обробки інформації в системі, де використовується технологія хмарних обчислень, – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), яка відповідно до договору про надання хмарних послуг здійснює обробку інформації в системі, де використовується технологія хмарних обчислень". |
| 82. |
ІІ. Прикінцеві положення |
ІІ. Прикінцеві положення |
||
| 83. |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. |
||
| 84. |
2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом: |
2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом: |
||
| 85. |
привести свої нормативно-правові акти у відповідність із цим Законом; |
привести свої нормативно-правові акти у відповідність із цим Законом; |
||
| 86. |
забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |
-35- Бондар В.В. До розділу ІІ проекту: «доповнити пунктом 2 такого змісту: «2. До приведення у відповідність із цим Законом закони України та інші нормативно-правові акти застосовуються в частині, що не суперечать цьому Закону.» в зв’язку з цим пункт 2 вважати пунктом 3.» | Відхилено |
забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |
| 87. |
Голова |
Голова |
||
| 88. |
Верховної Ради України |
Верховної Ради України |