Использование приложения WhatsApp неправомерно в деятельности госорганов РК в части соблюдения информационной безопасности при исполнении служебных обязанностей.
Президенту РК Токаеву К. 09.04.2023.
Насколько правомерно использование госорганами программного обеспечения WhatsApp в своей деятельности, какими НПА РК оно регламентировано?
Зачастую госорганы открывают чаты в этом приложении с участием множества пользователей, в том числе подведомственных организаций с целью оперативного разрешения различных вопросов. Эти группы составляют до 200 участников, в них обсуждают различные проблемы, прикладывают приказы, донесения, распоряжения и иную документацию, в том числе служебную и персональную. Кто отвечает за качество этих групп, включая возможность утечки информации за пределы подобных чатов, руководитель либо администратор? Какую ответственность несёт госорган за подобный дефект?
Справочно. Из материалов СМИ и интернет публикаций:
Чиновникам РФ запретят пользоваться приложениями, такими как WhatsApp. За нарушение запрета им будет грозить дисциплинарное наказание вплоть до увольнения.
В результате обсуждений рабочая подгруппа «Интернет+суверенитет» включила в «дорожную карту» мероприятие «Введение ответственности органов государственной власти и должностных лиц за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети Интернет средств кодирования (шифрования)». Основатель сервиса статистики OpenStat Леонид Филатов рассказал, что любая рабочая переписка с участием чиновника может содержать гостайну, а значит, должна быть защищена средствами шифрования. Минпросвещения запретило WhatsApp и другие западные мессенджеры.
Сообщения в WhatsApp могут прочитать посторонние. Злоумышленники или спецслужбы могут получить доступ к переписке, несмотря на шифрование.
Из Википедии:
/img/6M/3zA/9ZER/64X87pAhbx0t4/wVqsOKhE3K/dDxige3DivLWlCPd.png)
WhatsApp[К 1] — американский сервис обмена мгновенными сообщениями и голосовой связи по IP, принадлежащий компании Meta https://ru.wikipedia.org/wiki/WhatsApp .
Крупные проблемы с конфиденциальностью и безопасностью стали предметом расследования.
В 2018 году, в ходе переписки в WhatsApp Джеффа Безоса с принцем Саудовской Аравии, после получения по мессенджеру видеофайла, телефон главы Amazon был взломан, вследствие чего были украдены личные данные.
Ответ МЦИРАП РК. ОО инвалидов «ПОДРАНКИ»
Министерство цифрового развития, инноваций и аэрокосмической промышленности РК рассмотрев Ваше обращение, сообщает.
Согласно пункту 2 Единых требований в области ИКТ и обеспечения информационной безопасности, утвержденных Постановлением Правительства РК от 20 декабря 2016 года № 832 (далее-Единые требования), положения Единых требований, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, МИО, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
В соответствии с подпунктом 5 пункта 128 Единых требований, в целях обеспечения информационной безопасности выделенного канала связи служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ для осуществления оперативного информационного обмена в электронной форме при исполнении ими служебных обязанностей используют:
- ведомственную электронную почту, службу мгновенных сообщений и иные сервисы;
- электронную почту, службу мгновенных сообщений и иные сервисы, центры управления и серверы которых физически размещены на территории РК;
- доступные облачные онлайн-сервисы видеоконференцсвязи в целях коммуникаций с иностранными физическими и юридическими лицами.
Служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ осуществляют доступ к ИР из ЛС внешнего контура только через ЕШДИ с использованием веб-обозревателя, являющегося СПО и соответствующего требованиям Правил функционирования ЕШДИ, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности.
Вместе с тем, использование приложения WhatsApp, техническая инфраструктура либо сервера которого располагаются за рубежом, нарушает вышеуказанное требование законодательства.
В этой связи, при исполнении служебных обязанностей запрещается использовать сервис WhatsApp, так как центр управления и сервер находится за пределами страны.
Сообщаем, что для принятия решения касательно соответствия требованиям информационной безопасности, обращение должно содержать материалы, подтверждающие нарушение с указанием на пункты Единых требований (описание ситуации, период и сроки нарушения, лицо, допустившее нарушение, либо материалы прямо или косвенно указывающие на нарушение).
Следует отметить, что за нарушение Единых требований предусмотрена административная ответственность в виде штрафа (согласно статье 641 КоАП).
Вице-министр Цифрового развития, инноваций и аэрокосмической промышленности РК А. Оразбек.
ЗТ-2023-01164180. Шаметекову М.
В одном из отрывков диалога медиков Алматы в чате, где представлено руководство Управления здравоохранения Алматы, гл. врачи и иные пользователи указывается закодированный диагноз пациентки.
Пользователи группы владеют персональными данными без использования МИС и официальной авторизации, следовательно, без законодательных обязательств и ответственности в части запрета их распространения. Он лайновские технологии привели к тому, что госслужащие системы здравоохранения нарушают законодательство, начальник УОЗ не замечает дефекты, а юридическая служба в роли статистов безмолвствует?! Ранее в профильное министерство был отправлен запрос в этой части, однако Управление продолжает использовать этот канал.
Необходимо понимание, что запретительными мерами в части передачи информации из группы во внешнее пространство проблему не решить, ибо нарушен основополагающий принцип коммуницирования в госоргане и взаимодействия с подведомственными организациями.
Кроме того, та или иная информация о деятельности Управления, в том числе служебная перестает быть служебной по причине присутствия в уполномоченном госоргане штата прикомандированных, которые при обработке обращений имеют доступ к различной документации и сведениям.
Следует принять к сведению, что эта информация может распространяться в иных чатах, так и в сетях на анонимной основе. В этой связи, подобные нерегламентированные средства коммуникаций представляют нарушение юридических норм законодательства и требуют рассмотрения в целях неукоснительного соблюдения НПА, деятельность УЗ МИО в этой части должна вестись исключительно в правовом поле.
На №ЗТ-2024-05047469 от 17 августа 2024 года
Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности, рассмотрев Ваше обращение, сообщает. По вопросу использования мессенджера WhatsApp служащие ГО, МИО и работники государственных юридических лиц, квазигосударственного сектора для осуществления информационного обмена при исполнении ими служебных обязанностей используют сервисы, центры управления и серверы которых физически размещены на территории РК. Следовательно, не допускается использование сотрудникам ГО мессенджера WhatsApp.
По вопросу закрытых ключей Электронная цифровая подпись равнозначна собственноручной подписи лица и влечет одинаковые юридические последствия . При этом согласно статьи 10 Закона закрытые ключи ЭЦП являются собственностью лиц, они не могут быть переданы другим лицам. Наряду с этим, согласно статьи 17 Закона владелец регистрационного свидетельства обязан принимать меры для защиты принадлежащего ему ключа ЭЦП от неправомерного доступа и использования, а также хранить открытые ключи в порядке, установленном законодательством. За нарушение законодательства об электронном документе и ЭЦП предусмотрена административная ответственность в размере от 10 до 150 МРП в соответствии с Кодексом «Об административных правонарушениях». В соответствии со ст. 692-2 КоАП РК Комитет в качестве уполномоченного органа обеспечения информационной безопасности рассматривает дела о правонарушениях, предусмотренных статьями 79, 639, 640, 641 КоАП РК.
Заместитель председателя КИБ - АРЫКБЕКОВА УМИТЖАН ШАПАЕВНА
Продолжение:
Письмо в адрес УОЗ Алматы.
№ 27-1-1-27/9546-И от 02.12.2024
Управление общественного здравоохранения Алматы
Комитет по информационной безопасности МЦИРАП в целях пресечения нарушений в сфере обеспечения информационной безопасности сообщает.
Служащие государственных органов, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы важных объектов информационно-коммуникационной инфраструктуры для осуществления оперативного информационного обмена в электронной форме при исполнении ими служебных обязанностей используют службу мгновенных сообщений и иные сервисы, центры управления и серверы которых физически размещены на территории РК, если иное не установлено уполномоченным органом (подпункт 5) пункта 128 единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства РК от 20 декабря 2016 года № 832, далее - ЕТ).
Следовательно, использование сотрудниками государственных органов и работниками государственных юридических лиц, субъектов квазигосударственного сектора мессенджера WhatsApp при исполнении ими служебных обязанностей является нарушением требований ЕТ.
Следует отметить, что за указанное нарушение предусмотрена административная ответственность в соответствии со статьей 641 Кодекса «Об административных правонарушениях» РК.