Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень (Друге читання)
| 0. |
З А К О Н У К Р А Ї Н И |
| 1. |
Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень |
| 2. |
Верховна Рада України п о с т а н о в л я є: |
| 3. |
І. Внести зміни до таких законів України: |
| 4. |
1. У Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 2005 р., № 26, ст. 347; 2009 р., № 24, ст. 296; № 32 – 33, ст. 485; 2014 р., № 17, ст. 593; № 22, ст. 801, ст. 811, ст. 816): |
| 5. |
1) преамбулу доповнити словами "а також в системах хмарних обчислень"; |
| 6. |
2) у статті 1: |
| 7. |
абзаци другий, третій, шостий – восьмий, дванадцятий, чотирнадцятий – сімнадцятий викласти в такій редакції: |
| 8. |
"блокування інформації в системі чи системі хмарних обчислень – дії, внаслідок яких унеможливлюється доступ до інформації в системі чи системі хмарних обчислень; |
| 9. |
виток інформації – результат дій, внаслідок яких інформація в системі чи системі хмарних обчислень стає відомою чи доступною суб'єктам, що не мають права доступу до неї; |
| 10. |
"доступ до інформації в системі чи системі хмарних обчислень – отримання користувачем можливості обробляти інформацію в системі чи системі хмарних обчислень; |
| 11. |
захист інформації в системі чи системі хмарних обчислень – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі чи системі хмарних обчислень; |
| 12. |
знищення інформації в системі чи системі хмарних обчислень – дії, внаслідок яких інформація в системі чи системі хмарних обчислень зникає"; |
| 13. |
"користувач інформації в системі чи системі хмарних обчислень (далі – користувач) – фізична або юридична особа, яка відповідно до законодавства має або якій в установленому законодавством порядку надано право доступу до інформації в системі чи системі хмарних обчислень"; |
| 14. |
"несанкціоновані дії щодо інформації в системі чи системі хмарних обчислень – дії, що провадяться з порушенням установленого відповідно до законодавства порядку доступу до інформації в системі чи системі хмарних обчислень; |
| 15. |
обробка інформації в системі чи системі хмарних обчислень – виконання однієї або кількох операцій, пов'язаних із збиранням, введенням, записуванням, накопиченням, перетворенням, зміною, адаптуванням, поновленням, зчитуванням, зберіганням, знищенням, реєстрацією, прийманням, отриманням, передаванням інформації, які здійснюються в системі чи системі хмарних обчислень за допомогою технічних і програмних засобів; |
| 16. |
порушення цілісності інформації в системі чи системі хмарних обчислень – несанкціоновані дії щодо інформації в системі чи системі хмарних обчислень, внаслідок яких змінюється її вміст; |
| 17. |
порядок доступу до інформації в системі чи системі хмарних обчислень – умови отримання користувачем можливості обробляти інформацію в системі чи системі хмарних обчислень та правила обробки цієї інформації"; |
| 18. |
доповнити статтю абзацами двадцятим та двадцять першим такого змісту: |
| 19. |
"надавач хмарних послуг – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), яка відповідно до договору, укладеного з володільцем інформації або власником системи, бере зобов’язання зі здійснення обробки інформації в системі хмарних обчислень та/або надає із використанням системи хмарних обчислень доступ до використання: прикладних програм, які запускаються у системі хмарних обчислень; обчислювальної платформи (операційної системи, системи управління базою даних або пакету програмних продуктів, що забезпечує реалізацію задач автоматизації процесів шляхом налаштувань чи з використанням вбудованих засобів програмування тощо), на основі якої можна розгортати власне або створене іншими особами прикладне програмне забезпечення, а також бази даних, що підтримуються системою; інфраструктури (ресурсів для обробки, зберігання інформації, обладнання мереж та інших обчислювальних ресурсів), на основі якої можна розгортати та запускати вільно обране програмне забезпечення, включаючи операційні системи та прикладні програми"; |
| 20. |
"система хмарних обчислень – система, в якій реалізується модель забезпечення дистанційного доступу на вимогу до спільної сукупності динамічно розподілюваних та налаштовуваних обчислювальних ресурсів (включаючи внутрішньосистемні мережі, сервери, сховища даних, прикладні програми та послуги), які можуть бути оперативно надані і вивільнені, через глобальні мережі передачі даних із мінімальними управлінськими діями та/або мінімальною взаємодією з надавачем хмарних послуг"; |
| 21. |
3) назву та частину першу статті 2 після слова "системі" доповнити словами "чи системі хмарних обчислень"; |
| 22. |
4) в частині першій статті 3: |
| 23. |
абзац перший після слова "системах" доповнити словами "чи системах хмарних обчислень"; |
| 24. |
після абзацу третього доповнити новим абзацом такого змісту: |
| 25. |
"надавачі хмарних послуг". |
| 26. |
У зв'язку з цим абзаци четвертий і п'ятий вважати відповідно абзацами п'ятим і шостим; |
| 27. |
5) у статті 4: |
| 28. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
| 29. |
після частини другої доповнити новою частиною такого змісту: |
| 30. |
"Порядок доступу до інформації, яка обробляється в системі хмарних обчислень, визначається у договорі, укладеному між надавачем хмарних послуг та володільцем інформації або власником системи. |
| 31. |
У зв'язку з цим частину третю вважати частиною четвертою"; |
| 32. |
6) у статті 5: |
| 33. |
назву статті викласти в такій редакції: |
| 34. |
"Стаття 5. Відносини між володільцем інформації та власником системи, володільцем інформації або власником системи та надавачем хмарних послуг"; |
| 35. |
доповнити статтю частиною третьою такого змісту: |
| 36. |
"Надавач хмарних послуг забезпечує захист інформації в системі хмарних обчислень, а також надання володільцю інформації або власнику системи відомостей щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак, в порядку та на умовах, визначених цим Законом та договором щодо надання хмарних послуг"; |
| 37. |
7) у статті 6: |
| 38. |
назву статті викласти в такій редакції: |
| 39. |
"Стаття 6. Відносини між власником системи та користувачем, надавачем хмарних послуг та користувачем"; |
| 40. |
доповнити статтю частиною другою такого змісту: |
| 41. |
"Надавач хмарних послуг надає користувачеві відомості про правила і режим роботи системи хмарних обчислень та забезпечує йому відповідно до визначеного договором порядку доступ до інформації в цій системі ."; |
| 42. |
8) у статті 8: |
| 43. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
| 44. |
доповнити статтю частиною четвертою такого змісту: |
| 45. |
"Умови обробки та захисту окремих видів інформації в системі хмарних обчислень визначаються у договорі відповідно до статті 9-1 цього Закону"; |
| 46. |
9) у статті 9: |
| 47. |
назву статті доповнити словами "чи системі хмарних обчислень"; |
| 48. |
частину першу доповнити словами "а в системі хмарних обчислень – на надавача хмарних послуг"; |
| 49. |
в частині третій слова "спроби та/або" виключити; |
| 50. |
доповнити статтю новою частиною такого змісту: |
| 51. |
"Про факти несанкціонованих дій у системі хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації, яка обробляється в цій системі, надавач хмарних послуг повідомляє володільця відповідної інформації або власника відповідної системи"; |
| 52. |
10) доповнити статтею 9-1 такого змісту: |
| 53. |
"Стаття 9-1. Обробка та захист інформації в системі хмарних обчислень |
| 54. |
Інформація, у тому числі інформація з обмеженим доступом (крім інформації, яка в установленому порядку віднесена до державної таємниці), якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації може оброблятися в системі хмарних обчислень на підставі договору, укладеного між надавачем хмарних послуг та володільцем інформації або власником системи. |
| 55. |
Договір між надавачем хмарних послуг та володільцем інформації або власником системи має містити такі умови: |
| 56. |
предмет договору та строк його дії; |
| 57. |
ціна послуг, порядок, строки і розміри платежів; |
| 58. |
порядок обробки та захисту інформації в системі хмарних обчислень; |
| 59. |
порядок доступу користувачів до інформації, яка обробляється в системі хмарних обчислень; |
| 60. |
зобов'язання надавача хмарних послуг щодо вжиття заходів, спрямованих на запобігання несанкціонованим діям щодо інформації в системі хмарних обчислень; |
| 61. |
порядок надання надавачем хмарних послуг володільцю інформації або власнику системи відомостей щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак; |
| 62. |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про факти несанкціонованих дій у системі хмарних обчислень, що призвели до витоку, знищення, блокування чи порушення цілісності інформації; |
| 63. |
порядок та умови надання володільцям інформації або власникам системи надавачем хмарних послуг доступу до використання обчислювальної платформи, інфраструктури, а також прикладних програм, у тому числі тих, що запускаються в системі хмарних обчислень із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг; |
| 64. |
порядок отримання володільцем інформації або власником системи інформації, яка оброблялась в системі хмарних обчислень, у випадку припинення надання хмарних послуг; |
| 65. |
порядок видалення інформації із системи хмарних обчислень; |
| 66. |
вимоги до середнього часу безперебійної роботи системи хмарних обчислень; |
| 67. |
порядок здійснення надавачем хмарних послуг резервного копіювання інформації; |
| 68. |
гарантії надавача хмарних послуг щодо недопущення обробки інформації в системі хмарних обчислень на територіях держав, визнаних Верховною Радою України державами-агресорами, а також держав щодо яких застосовані санкції відповідно до Закону України "Про санкції"; |
| 69. |
відповідальність сторін договору; |
| 70. |
порядок повідомлення надавачем хмарних послуг володільця інформації або власника системи про можливі зміни в істотних умовах договору; |
| 71. |
інші умови щодо яких сторонами договору досягнуто згоди. |
| 72. |
Якщо інше не передбачено договором, надавач хмарних послуг може залучати третіх осіб до виконання своїх зобов’язань за договором, який укладається із володільцем інформації або власником системи. |
| 73. |
Обробка інформації, якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання, державні підприємства, установи та організації, в системі хмарних обчислень допускається лише за умови підтвердження належного рівня захисту інформації в такій системі згідно з вимогами цієї статті. Належний рівень захисту інформації в системі хмарних обчислень підтверджується наявністю дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, вимогам стандарту ІSО/ІЕС 27001 або ДСТУ ІSО/ІЕС 27001, або інших стандартів, якими їх замінено, виданого національним чи іноземним органом або організацією з оцінки відповідності, акредитованими національним органом України з акредитації або іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (Іntеrnаtіоnаl Ассrеdіtаtіоn Fоrum) та/або Європейської кооперації з акредитації (Еurореаn Со-ореrаtіоn fоr Ассrеdіtаtіоn), відповідно до стандарту ІSО/ІЕС 17021 або ДСТУ ІSО/ІЕС 17021, або інших стандартів, якими їх замінено. |
| 74. |
У разі, коли надавач хмарних послуг надає користувачам доступ до використання прикладних програм, що запускаються в системі хмарних обчислень із використанням послуг з доступу до використання обчислювальної платформи та/або інфраструктури інших надавачів хмарних послуг, належний рівень захисту інформації підтверджується наявністю у таких надавачів хмарних послуг дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою вимогам, визначеним у частині третій цієї статті. У цьому разі в договорі між надавачем хмарних послуг, який надає доступ до використання прикладних програм, та володільцем інформації або власником системи повинні бути визначені гарантії надавача хмарних послуг щодо наявності у нього працівників відповідної кваліфікації, які мають достатні знання та досвід, необхідні для надання хмарних послуг, а також щодо наявності у нього можливості використання для цілей укладеного договору системи хмарних обчислень, яка має належний рівень захисту інформації. |
| 75. |
Система хмарних обчислень, належний рівень захисту інформації в якій підтверджено відповідно до вимог цієї статті, вважається такою, захист інформації в якій відповідає вимогам частини другої та третьої статті 8 цього Закону. В такому випадку підтвердження відповідності та проведення державної експертизи, передбачених статтею 8 цього Закону не вимагається. |
| 76. |
У разі підтвердження належного рівня захисту інформації в системі хмарних обчислень відповідно до вимог цієї статті, контроль за забезпеченням захисту інформації в такій системі здійснюється винятково під час перевірки володільця інформації або власника системи в частині підтвердження факту укладення між ним та надавачем хмарних послуг договору згідно з вимогами, встановленими цією статтею, та наявності у системи хмарних обчислень дійсного сертифіката відповідності вимогам міжнародного та/або національного стандарту у сфері захисту інформації, як це вимагається цією статтею. |
| 77. |
У разі непідтвердження належного рівня захисту інформації в системі хмарних обчислень відповідно до вимог частин третьої та четвертої цієї статті надання хмарних послуг здійснюється відповідно до статті 8 цього Закону. |
| 78. |
Порядок здійснення криптографічного захисту інформації, яка передається до системи хмарних обчислень у зв'язку із наданням хмарних послуг володільцю інформації чи власнику системи, визначається Кабінетом Міністрів України. |
| 79. |
Особливості використання банками систем хмарних обчислень встановлюються Національним банком України. |
| 80. |
11) частину п'яту статті 10 після слова "системах" доповнити словами "чи системах хмарних обчислень"; |
| 81. |
2. Частину третю статті 4 Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; 2013 р., № 51, ст. 715) доповнити словами "а у разі обробки інформації в системі хмарних обчислень – фізична особа, у тому числі фізична особа – підприємець, юридична особа (резидент або нерезидент), яка відповідно до договору щодо надання хмарних послуг здійснює обробку інформації в системі хмарних обчислень". |
| 82. |
ІІ. Прикінцеві положення |
| 83. |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. |
| 84. |
2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом: |
| 85. |
привести свої нормативно-правові акти у відповідність із цим Законом; |
| 86. |
забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |
| 87. |
Голова |
| 88. |
Верховної Ради України |