Пропозиції Київського відділення isaca до проекту...
TRANSCRIPT
Громадська організація «ІСАКА КИЇВ» Україна, 01032, м. Київ, вул. Жилянська, буд. 75
Громадська організація «ІСАКА КИЇВ» Україна, 01032, м. Київ, вул. Жилянська, буд. 75
Начальнику управління боротьби з кіберзлочинністю
МВС України Демидюку Сергію Васильовичу
Шановний Сергій Васильович!
Київське відділення Всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій –
ISACA (InformationSystemsAuditandControlAssociation, http://www.isaca.org) пропонує розглянути та врахувати під час підготовки позиції профільного
Комітету напрацьовані пропозиції до проекту Закону України «Про боротьбу з кіберзлочинністю» (далі - Закон) (Додаток А додається).
Згідно проведеної експертизи проекту нормативно-правового акту, Закон, в наданій до експертизи редакції, не охоплює та не гарантує:
1. захист прав та свобод громадян;
2. законне збирання, зберігання та використання цифрових доказів (доказів у електронній формі);
3. ефективну профілактику та розслідування найбільш шкідливих для суспільства кібер-злочинів;
4. підвищення ефективності антитерористичних заходів; 5. створення на підприємствах критичних галузей підрозділів для захисту від кібер-загроз та/або команд реагування на інциденти кібер-безпеки.
Разом з Проектом Закону не надані ключові пояснення щодо його реалізації:
1. конкретну мету, з якою приймається закон; 2. аналіз ефективності існуючих в Україні державних органів, процесів,
інфраструктури для боротьби з кібер-злочинами; 3. оцінку збитків та ризиків,пов’язаних ізкібер-злочинами, що відбулися;
4. аналіз поточного рівня видатків на забезпечення заходів по боротьбі з кібер-злочинністю та запланованого їх рівня після введення закону в
дію; 5. фінансова оцінки, термін введення закону в дію та шляхи реалізації
Громадська організація «ІСАКА КИЇВ» Україна, 01032, м. Київ, вул. Жилянська, буд. 75
закону.
В Проекті Закону відсутні ключові поняття та компоненти, які необхідні для побудови системи протидії кібер-злочинам на рівні держави:
1. принципи дотримання міжнародних стандартів та Конвенцій про захист прав людини і основоположних свобод;
2. вільний доступ до мережі Інтернет, без необхідності надання
реєстраційних даних, відповідно до позиції Комітету з прав людини; 3. чітке визначення кібернетичних злочинів, що посягають на «суспільну
мораль» та «громадську безпеку», детальний опис порушень, які можуть призвести до перехоплення даних;
4. можливість перехоплення даних виключно за рішенням суду на обмежений період часу;
5. принципи попередження та відповідальність за неправомірний сбір та перехоплення даних, а також за зловживання, неналежне використання
чи передачу перехоплених даних третім сторонам та іноземним державам;
6. розроблення та дотримання принципу «пропорційності»,що визначає адекватність заходів таємного спостереження та перехоплення даних величині злочину та ступеню обґрунтованості запиту;
7. повідомлення громадянина чи організації про факт перехоплення їхніх даних (після закінчення слідчих дій);
8. принципи громадського контролю за діями правоохоронних органів щодо перехоплення даних та їх втручання в роботу автоматизованих
систем та каналів зв’язку; 9. принципи компенсації у випадку неправомірних дій правоохоронних
органів під час розслідування кіберзлочинів; 10. принципи гарантування цілісності цифрових доказів та використанню
їх в судовому та слідчому процесах згідно закону; 11. створення галузевих команд реагування на інциденти кібербезпеки;
12. принцип передачі спеціалізованим громадським організаціям керування контрольними центрами ботнетів, зловмисними інтернет
адресами, доменними іменами, з метою запобігання їх злочинному використанню;передачуприватним експертам-дослідникам технічних деталей кібер-злочинів задля розробки методів захисту від кібер-атак;
13. детальний розподіл повноважень зівсіма суб’єктами забезпечення кібернетичної безпеки на рівні підприємств та держави;
14. права власників комп'ютерних систем та постачальників інформаційних послуг.
15. права дослідників щодо пошуку інформації про вразливості (експлойти);
Громадська організація «ІСАКА КИЇВ» Україна, 01032, м. Київ, вул. Жилянська, буд. 75
16. захист прав найманих робітників від незаконного перехоплення їх особистих даних працедавцем;
17. створення та постійне оновлення переліку зловмисних інтернет-адрес та доменів, що приймають участь в атаках.
Окремо пропонуємо: Більш чітко визначити термін “хакерство” та «хактивізм» з урахуванням
загальноприйнятих у світі термінів.
Вважаємо за доцільне також зазначити, що основні засади боротьби з ківер-злочинністю повинні розглядатися разом із стратегічними напрямками
розвитку інформаційних технологій в Україні.
Відсутність узгодження вимог інформаційної безпеки при складанні
стратегії розвитку та використання інформаційних технологій в країні може призвести до додаткових ризиків інформаційної безпеки та невдалому
впровадженню великих проектів.
Тому, вважаємо за доцільне переглянути деякі положення діючого
законодавства, особливо в частині управління інформаційними технологіями та управління інформаційною безпекою, з метою забезпечення централізованого та погодженого вирішення цього питання.
За Вашої згоди, шановний Сергію Васильовичу, готові організувати зустріч, провести консультації з представниками управління для подальшого
ґрунтовного обговорення основних положень взаємовигідної співпраці.
Громадська організація «ІСАКА КИЇВ» має великий практичний досвід
реалізації міжнародних стандартів та кращих світових практик у галузі управління інформаційними технологіями. Готові провести дослідження
здійснення таких процесів у світі та надати пропозиції стосовно найбільш ефективного впровадження та функціонування системи кібер-безпеки
провідних країн світу.
Коротко поінформуємо, що Асоціація ISACA об’єднує понад 115.000
членів в 180-ти країнах, є співавтором поширеного у світі стандарту з управління інформаційними технологіями – CobiT, який був переданий до
Секретаріату профільного Комітету у липні поточного року, а також учасником багатьох методологічних проектів.
Київське відділення ISACA об’єднує фахівців в різних галузях
інформаційних технологій, інформаційної безпеки і аудиту інформаційних технологій практично з усіх місць України, має вільний доступ до усіх
розробок Всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA та має
Громадська організація «ІСАКА КИЇВ» Україна, 01032, м. Київ, вул. Жилянська, буд. 75
можливість за потреби залучати провідних міжнародних експертів ISACA до напрацювання законотворчих ініціатив народними депутатами – членами
профільного Комітету.
Користуючись нагодою звертаємось з проханням розповсюдити
вищезазначені пропозиції серед народних депутатів – членів профільного Комітету для формування засад подальшої плідної співпраці.
Додатки: на _____ арк.
З повагою
Президент
ГО «ІСАКА КИЇВ» Янковський О.Ю.
Додаток А
Таблиця запропонованих змін до
Проекту Закону України “Про боротьбу з кіберзлочинністю”
№ Розділ закону Запропоновані зміни
0
Цей Закон визначає правові та організаційні основи боротьби з
кіберзлочинністю, виявлення та усунення причин і умов, які породжують ці злочини, взаємодію з метою попередження і
боротьби з злочинами у сфері комп'ютерних технологій, захисту та надання допомоги поставникам послуг і користувачам комп'ютерних систем, співпрацю з іншими державними, міжнародними та
регіональними організаціями в цій сфері.
Положення цього Закону не можуть бути застосовані як підстава для переслідування громадян, які, діючи в межах закону, виступають на
захист своїх конституційних прав і свобод.
Цей Закон визначає правові та організаційні основи боротьби з
кіберзлочинністю, взаємодію з метою попередження і боротьби з злочинами у сфері комп'ютерних технологій, захисту та надання
допомоги постачальникам інформаційних послуг і користувачам комп'ютерних систем, співпрацю з державними, міжнародними та регіональними організаціями в цій сфері,
визначення прав та свобод громадян при роботі з
комп’ютерними системами, визначення порядку роботи з
цифровими доказами. Положення цього Закону не можуть бути застосовані як підстава для переслідування громадян, які, діючи в межах закону,
виступають на захист своїх конституційних прав і свобод.
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
1 Стаття 1 Основні поняття
У цьому законі використовуються такі основні поняття : кіберзлочинність, - це злочинність, пов'язана як з використанням
комп'ютерів, так і з використанням інформаційних технологій і глобальних мереж та кіберпростору;
кіберзлочин - це винне суспільно небезпечне кримінально каране діяння вчинене шляхом використання комп'ютерних технологій та
втручання в роботу комп'ютерів, комп'ютерних програм, комп'ютерних мереж, несанкційована модифікація комп'ютерних
Стаття 1 Основні поняття
У цьому законі використовуються такі основні поняття : кіберзлочинність, - це злочинність, пов'язана як з
використанням комп'ютерів, так і з використанням інформаційних технологій і глобальних мереж та кіберпростору;
кіберзлочин - це доведене суспільно небезпечне кримінально каране діяння вчинене шляхом використання комп'ютерних технологій та втручання в роботу комп'ютерів, комп'ютерних
програм, комп'ютерних мереж, несанкціонована модифікація даних, а також інші протиправні суспільно небезпечні діяння,
даних, а також інші протиправні суспільно небезпечні діяння,
вчинені з допомогою або за допомогою комп'ютерів, комп'ютерних мереж і програм, а також з допомогою або за допомогою інших пристроїв доступу до модельованого з допомогою комп'ютера
інформаційного простору. кіберпростір - змодельований з допомогою комп'ютера
інформаційний простір, в якому знаходяться дані про осіб, предмети, факти, події, явища і процеси, представлені в математичному, символьному чи будь-якому іншому вигляді і знаходяться в процесі
руху по локальних і глобальних комп'ютерних мережах, або відомості, що зберігаються в пам'яті будь-якої фізичного або
віртуального пристрою, а також іншого носія, спеціально призначеного для їх зберігання, обробки та передачі, унікальне середовище, не розташоване в географічному просторі, але доступне
кожному в будь-якій точці світу за допомогою доступу в Інтернет. кіберпереслідування - форма електронного переслідування, яка
найчастіше пов'язана з явно вираженими або уявними фізичними погрозами, що створюють відчуття небезпеки у жертви;
хакерство - використання Інтернет-технологій з метою заподіяння шкоди комп'ютерним мережам і їх користувачам;
хактівізм - злочини, що посягають на конфіденційність інформації -
вчинені з допомогою або за допомогою комп'ютерів,
комп'ютерних мереж і програм, а також з допомогою або за допомогою інших пристроїв доступу до створеного за допомогою комп'ютера інформаційного простору.
кіберпростір – створений за допомогою інформаційних
технологій інформаційний простір, в якому знаходяться дані
про осіб, предмети, факти, події, явища і процеси, представлені в цифровому, символьному чи будь-якому іншому вигляді, розміщені в локальних та/або глобальних комп'ютерних
мережах, або відомості, що зберігаються в пам'яті будь-якої фізичного або віртуального пристрою, а також іншого носія,
спеціально призначеного для їх зберігання, обробки та передачі; унікальне інформаційне середовище, яке доступне кожному в будь-якій точці світу за допомогою доступу через глобальні
мережі. кіберцькування (кіберпереслідування) - форма електронного
переслідування, домагання або залякування в кіберпросторі із використанням електронної пошти, форумів, веб сайтів, або обміну миттєвими повідомленнями з метою залякування чи іншим чином
утискання особи або групи осіб через особисті нападки. Кіберцькування може бути у вигляді коментарів, зроблених в
чатах, відправку наступальної або жорстокої електронної пошти, або навіть турбування осіб, розмістивши на блогах чи соціальних мережах неправдиву інформацію про них.
хакерство - використання інформаційних технологій з метою
заподіяння шкоди інформаційним системам, комп'ютерним
мережам і їх користувачам. Основною ознакою хакерства є
отримання доступу до комп’ютера, даних та інформації без
авторизації або з перевищенням авторизованого доступу і
здійснення дій, які можуть впливати на національну безпеку,
безпеку підприємства або особи . Слід зазначити, що хакерство
не завжди спрямовано на здійснення кіберзлочинів та може
бути одним з інструментів більш докладного вивчення та
аналізу захищеності інформаційних систем.
незаконний доступ до комп'ютерів або комп'ютерних систем без
заподіяння шкоди інформації;
деструктивні кіберзлочини - злочини які полягають у пошкодженні даних і посягають на цілісність даних і безпеку функціонування
комп'ютерних систем; кіберкрадіжка та кібершахрайство - злочини, пов'язані з використанням комп'ютерних технологій, що посягають на майно,
майнові права, а також на право власності на інформацію і авторські права;
До них можна також віднести - Незаконне асигнування, яке відрізняється від розтрати тим, що цінності не були доручені злочинцеві, але він, маючи доступ до системи, змінює документи, в
результаті чого набуває право на майно, яке не мало йому належати.
Корпоративне (промислове) шпигунство, коли працівники підприємства або інші особи використовують комп'ютери та мережі для розкрадання комерційної таємниці (наприклад, рецепт напою,
виготовленого конкурентом). Предметом розкрадання можуть також виступати фінансові дані, конфіденційні списки клієнта,
маркетингові стратегії або інша інформація, яка може використовуватися для підриву бізнесу або одержання конкурентоспроможної переваги.
Плагіат - розкрадання авторських матеріалів з подальшою видачею їх як своїх.
Піратство, тобто неправомірне копіювання захищеного авторським правом програмного забезпечення, а також музики, кіно, книг, інших творів мистецтва, приносить збитки законному власнику авторських
прав. Розкрадання персональних даних, коли Інтернет використовується
для отримання особистих даних жертви, наприклад, водійських номерів прав, номерів кредитних карт і банківських рахунків для наступних шахрайських дій, у тому числі отримання з допомогою
Хактівізм – один з видів хакерства або неавторизованого доступу
до інформаційної системи з політичними чи соціально мотивованими цілями. Це неправомірне використання нелегальних чи легальних цифрових інструментів для досягнення політичних
цілей, наприклад, спотворення чи блокування веб-сайтів для підтримки політичної свободи особи чи партії.
деструктивні кіберзлочини – злочини, які полягають у пошкодженні даних і посягають на цілісність даних і безпеку функціонування комп'ютерних систем;
кіберкрадіжка та кібершахрайство - злочини, пов'язані з використанням комп'ютерних технологій, що посягають на майно,
майнові права, а також на право власності на інформацію і авторські права; До них можна також віднести - Незаконне асигнування, яке
відрізняється від розтрати тим, що цінності не були доручені злочинцеві, але він, маючи доступ до системи, змінює документи, в
результаті чого набуває право на майно, яке не мало йому належати. Корпоративне (промислове) шпигунство, коли працівники
підприємства або інші особи використовують комп'ютери та мережі для розкрадання комерційної таємниці (наприклад, рецепт
напою, виготовленого конкурентом). Предметом розкрадання можуть також виступати фінансові дані, конфіденційні списки клієнта, маркетингові стратегії або інша інформація, яка може
використовуватися для підриву бізнесу або одержання конкурентоспроможної переваги.
Плагіат - розкрадання авторських матеріалів з подальшою видачею їх як своїх. Піратство - неправомірне копіювання захищеного авторським
правом програмного забезпечення, а також музики, кіно, книг, інших творів мистецтва, яке приносить збитки законному власнику
авторських прав. Розкрадання персональних даних - використання Інтернет для отримання особистих даних жертви, наприклад, водійських
особистих даних грошей чи іншого майна.
Розкрадання і подальше неправомірна зміна даних DNS (сервера доменних імен). кіберконтрабанда - передача нелегальних інтелектуальних товарів,
програм, шифрувальних технологій, заборонених у деяких державах, у мережі Інтернет;
комп'ютерна система - будь-який пристрій або сукупність взаємопов'язаних чи суміжних пристроїв, один чи більше з яких, діючи за програмою, здійснює автоматичну обробку даних;
комп'ютерні дані - будь-яке представлення фактів, інформації або концепцій у формі, придатній для обробки за допомогою
комп'ютерної системи, у тому числі програми, призначені для виконання комп'ютерною системою тих чи інших дій; постачальник послуг - будь-яка державна чи приватна структура,
що надає користувачам можливість обмінюватися даними за допомогою комп'ютерної системи, а також будь-яка інша структура,
що здійснює обробку або зберігання комп'ютерних даних за дорученням служби зв'язку або користувачів його послуг;
дані про інформаційні потоки - будь-які дані, пов'язані з операціями по передачі інформації за допомогою комп'ютерної
системи, які генеруються комп'ютерною системою, яка є ланкою відповідного комунікаційного ланцюжка, і вказують на джерело, призначення, маршрут, час, дату, розмір, тривалість або тип
відповідного мережного сервісу; дані про користувачів - будь-яка наявна у постачальника послуг
інформація про його абонентів у формі комп'ютерних даних або будь-якій іншій формі, крім даних про потоки або зміст інформації, за допомогою якої можна встановити: вид використовуваної
комунікаційної послуги, вжиті з цією метою заходи технічного забезпечення та період надання послуги; особа абонента, його
поштова або географічна адреса, номер міського телефону або будь-який інший контактний номер телефону, відомості про виставлені йому рахунки і здійснених ним платежів, наявні особові дані в угоді
номерів прав, номерів кредитних карт і банківських рахунків для
наступних шахрайських дій, у тому числі отримання за допомогою особистих даних грошей чи іншого майна. Розкрадання і подальше неправомірна зміна даних DNS (сервера
доменних імен). кіберконтрабанда - передача нелегальних інтелектуальних
товарів, програм, у мережі Інтернет; комп'ютерна система - будь-який пристрій або сукупність
взаємопов'язаних чи суміжних пристроїв, один чи більше з яких, діючи за програмою, здійснює автоматичну обробку даних;
комп'ютерні дані - будь-яке представлення фактів, інформації або концепцій у формі, придатній для обробки за допомогою комп'ютерної системи, у тому числі програми, призначені для
виконання комп'ютерною системою тих чи інших дій; постачальник інформаційних послуг - будь-яка державна чи
приватна структура, що надає користувачам можливість обмінюватися даними за допомогою комп'ютерної системи, а також будь-яка інша структура, що здійснює обробку або зберігання
комп'ютерних даних за дорученням служби зв'язку або користувачів його послуг;
дані про інформаційні потоки - будь-які дані, пов'язані з операціями по передачі інформації за допомогою комп'ютерної системи, які генеруються комп'ютерною системою, яка є ланкою
відповідного комунікаційного ланцюжка, і вказують на джерело, призначення, маршрут, час, дату, розмір, тривалість або тип
відповідного мережного сервісу; дані про користувачів - будь-яка наявна у постачальника інформаційних послуг інформація про його абонентів у формі
комп'ютерних даних або будь-якій іншій формі, крім даних про потоки або зміст інформації, за допомогою якої можна встановити:
вид використовуваної комунікаційної послуги, вжиті з цією метою заходи технічного забезпечення та період надання послуги; особа абонента, його поштова або географічна адреса, номер міського
або договорі на обслуговування; будь-які інші відомості про місце
встановлення комунікаційного обладнання, наявні в угоді або договорі на обслуговування, а також будь-які інші дані, які можуть призвести до ідентифікації користувача;
заходи безпеки - застосування процедур, пристроїв або
спеціалізованих комп'ютерних програм, за допомогою яких доступ до комп'ютерної системи обмежений або заборонений для деяких категорій користувачів.
телефону або будь-який інший контактний номер телефону,
відомості про виставлені йому рахунки і здійснених ним платежів, наявні особові дані в угоді або договорі на обслуговування; будь-які інші відомості про місце встановлення комунікаційного
обладнання, наявні в угоді або договорі на обслуговування, а також будь-які інші дані, які можуть призвести до ідентифікації
користувача; заходи безпеки - застосування процедур, пристроїв або спеціалізованих комп'ютерних програм, за допомогою яких доступ
до комп'ютерної системи обмежений або заборонений для деяких категорій користувачів;
використання терористами Інтернет - специфічні дії
терористичних організацій та їх послідовників в мережі
Інтернет, направлені на пропаганду, збір пожертв,
радикалізацію та залучення волонтерів для скоєння
терористичних актів, чи заохочення до скоєння
терористичних актів через пропаганду;
галузеві команди реагування на комп’ютерні надзвичайні події
– спеціальні структурні підрозділи промислових асоціацій,
індустріальних союзів, громадських організацій, приватних
підприємств, що забезпечують захист інформаційних
ресурсів та інформаційних і телекомунікаційних систем від
неправомірного використання, несанкціонованого доступу, а
також порушень їх конфіденційності, цілісності та
доступності; кібернетична операція – комплекс заходів в інформаційному
просторі, котрі проводяться під час військових,
розвідувальних, правоохоронних дій, та підтримують
досягнення їх мети. Під час кібернетичної-операції можливе
проникнення та криміналістичне дослідження
інформаційних систем, які терористи використовують під
час своєї діяльності;
ботнет - набір зв’язаних через Інтернет програм,
встановлених без згоди власників інформаційних систем, з
єдиною метою скоєння кібер-злочинів;
програми блокувальники — зловмисні програми, що
встановлюються без згоди власника, з єдиною метою
блокування роботи його інформаційних систем та отримання
винагороди за розблокування;
Дос атака — дій, що робить зловмисник з єдиною метою
блокування роботи іншої інформаційної системи;
зловмисна програма — комп'ютерна програма, розроблена з
єдиною метою скоєння кібер-злочинів;
зловмисний домен - інтернет-домен, створений з єдиною
метою скоєння кібер-злочинів;
зловмисна інтернет адреса — інтернет-адреса, яка
використовується з єдиною метою скоєння кібер-злочинів;
експлойт — програма, що використовує вразливість в
системі захисту комп’ютерної системи, створена (знайдена) з
єдиною метою отримати можливість виконувати в ній
неавторизовані дії;
піратський хостінг — Інтернет хостінг, створений з єдиною
метою розміщення зловмисних програм, доменів, піратського
контенту, та ігнорування звернень від постраждалих осіб та
правоохоронних органів;
цифровий доказ (доказ в електронній формі) — будь-яка
доказова інформація, що зберігається або передається в
цифровому вигляді і може бути використана в судовому
процесі.
2 Стаття 2 Основні принципи попередження і боротьби із злочинністю в сфері комп'ютерних технологій
Попередження і боротьба з злочинністю в сфері комп'ютерної інформації ґрунтуються на наступних принципах:
а) законність; б) дотримання основних прав і свобод людини; в) оперативність;
г) неминучість покарання;
Стаття 2 Основні принципи попередження і боротьби із злочинністю в сфері комп'ютерних технологій
Попередження і боротьба з злочинністю в сфері комп'ютерної інформації ґрунтуються на наступних принципах:
а) законність; б) дотримання основних прав і свобод людини; в) оперативність;
г) неминучість покарання;
д) комп'ютерна безпека та захист персональних даних;
є) комплексне використання профілактичних заходів: правових, соціально-економічних та інформаційних; ж) соціальне партнерство, співпраця органів публічного управління з
міжнародними організаціями, неурядовими організаціями, іншими представниками громадянського суспільства.
д) комп'ютерна безпека та захист персональних даних;
є) комплексне використання профілактичних заходів: правових, соціально-економічних та інформаційних; ж) соціальне партнерство, співпраця органів публічного управління
з міжнародними організаціями, неурядовими організаціями, іншими представниками громадянського суспільства;
з) ефективний контроль громадянського суспільства за
діяльністю суб`єктів забезпечення кібернетичної безпеки та
правоохоронних органів;
і) освіченість широких верств населення щодо питань
кіберзлочинності , їх прав та обов`язків;
ї) організація боротьби з кібер-злочинами, в тому числі в
зонах стихійного лиха, під час військових та
антитерористичних дій та на тимчасово окупованої території
України;
к) відповідальності керівництва держави за ефективність
боротьби з кібер-злочинами.
3 Стаття 3. Злочини, які відносяться до кіберзлочинів
До кіберзлочинів відносяться наступні злочини, пов'язані з використанням комп'ютерних технологій:
- насильницькі або інші потенційно небезпечні кіберзлочини, які посягають на фізичну безпеку, життя і здоров'я людини; - кіберкрадіжка та кібершахрайство;
- киберпереслідування; - деструктивні кіберзлочини;
- використання Інтернет-технологій з метою заподіяння шкоди комп'ютерним мережам і їх користувачам; - злочини, пов'язані з використанням комп'ютерних технологій, що
посягають на суспільну мораль; - злочини, пов'язані з використанням комп'ютерних технологій, що
посягають на громадську безпеку;
Стаття 3. Злочини, які відносяться до кіберзлочинів
До кіберзлочинів відносяться наступні злочини, пов'язані з використанням комп'ютерних технологій:
- насильницькі або інші потенційно небезпечні кіберзлочини, які посягають на фізичну безпеку, життя і здоров'я людини; - кіберкрадіжка та кібершахрайство;
- киберпереслідування; - деструктивні кіберзлочини;
- використання інформаційних технологій з метою заподіяння шкоди комп'ютерним мережам і їх користувачам;
- злочини, пов'язані з використанням комп'ютерних технологій, що
посягають на громадську безпеку; - Дос атаки, які призвели до зупинки інформаційної системи чи
унеможливлення роботи комп’ютерних систем та мереж;
- злами облікових записів (поштових скриньок, соціальних
мереж, форумів);
- створення ботнет мереж зі злочинною метою;
- злам сервісів VOIP та неавторизовані дзвінки;
- встановлення зловмисних програм за допомогою зламу
сервісів без відома користувача;
- злам комп'ютерних систем зі злочинними намірами;
- використання державними органами повноважень щодо
перехоплення даних та скритого відстежування без рішення
суду;
- маніпуляція із даними в державних базах даних та реєстрах;
- блокування роботи державних інформаційних систем, якщо
не є формою масового протесту;
- навмисне пошкодження кабелів та інфраструктури зв’язку;
- незаконне вилучення чи крадіжка даних та обладнання;
- зміна вмісту сайту внаслідок неавторизованого доступу;
- вимагання коштів через блокування доступу до даних;
- хакерство; - хактівізм;
- інші кіберзлочини - злочини, що вчиняються за допомогою комп'ютерних мереж, та посягають на різні охоронювані законом
суб'єкти. Традиційні злочини, вчинення яких комп'ютер або полегшує, або дає нові можливості для їх вчинення - це в першу чергу такі злочини, як:
- реклама послуг проституції в мережі;
- незаконний обіг наркотиків з використанням мережі Інтернет; - азартні ігри в Інтернеті ;
- відмивання грошей за допомогою електронного переміщення; - кіберконтрабанда, або передача нелегальних інтелектуальних товарів, наприклад, шифрувальних технологій, заборонених у деяких
державах, у мережі Інтернет)
- незаконне захоплення доменних імен;
- незаконне збирання, збереження та використання цифрових
доказів під час слідчих дій та судового процесу;
- неузгоджене із співробітником перехоплення працедавцем
особистих даних співробітників під час їх роботи в системах
працедавця. Використання отриманих особистих даних для
проникнення в поштові скриньки, сторінки в соціальних
мережах та інші системи, де містяться особисті дані
працівників;
- створення та обслуговування піратського хостінгу;
- хакерство;
- хактівізм;
Традиційні злочини, вчинення яких комп'ютер або полегшує, або дає нові можливості для їх вчинення - це в першу чергу такі
злочини, як:
- незаконна реклама та забезпечення обігу наркотиків чи зброї з
використанням мережі Інтернет; - азартні ігри в Інтернеті - відмивання грошей за допомогою електронного переміщення;
- кіберконтрабанда, або передача нелегальних інтелектуальних товарів, наприклад, шифрувальних технологій, заборонених у деяких державах, у мережі Інтернет);
- шахрайство в сервісах знайомств із злочинними намірами;-
розповсюдження дитячої порнографії;
- заклики до скоєння терористичних актів.
Розділ II
ОРГАНІЗАЦІЙНІ ОСНОВИ БОРОТЬБИ З КІБЕРЗЛОЧИННІСТЮ
Розділ II
ОРГАНІЗАЦІЙНІ ОСНОВИ БОРОТЬБИ З КІБЕРЗЛОЧИННІСТЮ
Стаття 4. Суб'єкти боротьби з кіберзлочинністю
Організація боротьби з кіберзлочинністю в Україні та
Стаття 4. Суб'єкти боротьби з кіберзлочинністю
Організація боротьби з кіберзлочинністю в Україні та
забезпечення її необхідними силами, засобами і ресурсами здійснюються Кабінетом Міністрів України у межах його компетенції.
Центральні органи виконавчої влади беруть участь у боротьбі з кіберзлочинністю в межах своєї компетенції, визначеної законами та виданими на їх основі іншими нормативно-правовими актами.
Суб’єктами, які безпосередньо здійснюють боротьбу з кіберзлочинністю у межах своєї компетенції, є:
Міністерство внутрішніх справ України - є головним органом у загальнодержавній системі боротьби з кіберзлочинністю;
Служба безпеки України;
Міністерство оборони України;
інші центральні органи виконавчої влади, що забезпечують та реалізують державну політику у сфері комп'ютерних технологій.
До участі в здійсненні заходів, пов'язаних з попередженням, виявленням і припиненням кіберзлочинної діяльності, залучаються в разі необхідності центральні та місцеві органи виконавчої влади та
органи місцевого самоврядування, що здійснюють діяльність у сфері
забезпечення її необхідними силами, засобами і ресурсами здійснюються Кабінетом Міністрів України у межах його компетенції.
Центральні органи виконавчої влади беруть участь у боротьбі з кіберзлочинністю в межах своєї компетенції, визначеної законами та виданими на їх основі іншими нормативно-правовими актами.
Суб’єктами, які безпосередньо здійснюють боротьбу з кіберзлочинністю у межах своєї компетенції, є:
Міністерство внутрішніх справ України в особі підрозділу з боротьби з кіберзлочинністю;
Служба безпеки України в особі підрозділу з боротьби з кіберзлочинністю;
Міністерство оборони України в особі підрозділу з боротьби з
кіберзлочинністю;
галузеві команди реагування на комп’ютерні
надзвичайні події – спеціальні структурні підрозділи
промислових асоціацій, індустріальних союзів, громадських
організацій, приватних підприємств, що забезпечують захист
інформаційних ресурсів та інформаційних і
телекомунікаційних систем від неправомірного
використання, несанкціонованого доступу, а також порушень
їх конфіденційності, цілісності та доступності;
інші центральні органи виконавчої влади, що забезпечують та реалізують державну політику у сфері комп'ютерних технологій.
До участі в здійсненні заходів, пов'язаних з попередженням,
виявленням і припиненням кіберзлочинної діяльності, залучаються в разі необхідності центральні та місцеві органи виконавчої влади та органи місцевого самоврядування, що
здійснюють діяльність у сфері комп'ютерних технологій та застосовують комп'ютерні мережі.
До участі в операціях по боротьбі з кіберзлочинністю за
комп'ютерних технологій та застосовують комп'ютерні мережі.
До участі в операціях по боротьбі з кіберзлочинністю за рішенням керівництва уповноваженого органу по боротьбі з
кіберзлочинністю можуть бути залучені з дотриманням вимог цього Закону й інші центральні та місцеві органи виконавчої влади, органи місцевого самоврядування, підприємства, установи, організації
незалежно від підпорядкованості і форми власності, їх посадові особи, а також громадяни за їх згодою. Координацію діяльності
суб'єктів, які залучаються до боротьби з кіберзлочинністю та використання нових технологій у боротьбі з кібератаками здійснює окремий структурний підрозділ боротьби з кіберзлочинністю Міністерства внутрішніх справ України.
Як варіант пропонується (Координацію діяльності суб'єктів, які залучаються до боротьби з кіберзлочинністю та використання нових
технологій у боротьбі з кібератаками здійснює Національний центр боротьби з кіберзлочинністю.
Національний центр боротьби з кіберзлочинністю є державним органом, підпорядкованим і підзвітним Міністерству внутрішніх
справ України і створюється на виконання цього закону Кабінетом Міністрів України за рахунок штатної чисельності і на базі
Управління боротьби з корупцією Міністерства внутрішніх справ України.)
рішенням керівництва уповноваженого органу по боротьбі з кіберзлочинністю можуть бути залучені з дотриманням вимог
цього Закону й інші центральні та місцеві органи виконавчої влади, органи місцевого самоврядування, підприємства, установи,
організації незалежно від підпорядкованості і форми власності, їх посадові особи, а також громадяни за їх згодою.
РНБО координує діяльність усіх структур щодо протидії
кіберзлочинності, забезпечує розробку методик протидії,
провадить моніторинг ризиків кіберзлочинності, активності та
знешкодження сайтів, окремих Інтернет систем, ботнетів,
форумів, що використовуються терористами та
розвідувальними службами інших держав проти громадян та
організацій України.
4 Стаття 5 Повноваження компетентних органів влади та установ у сфері запобігання та боротьби зі злочинністю в сфері комп'ютерної інформації
Міністерство внутрішніх справ та його структурні підрозділи
Стаття 5 Повноваження компетентних органів влади та установ у сфері запобігання та боротьби зі злочинністю в сфері комп'ютерної інформації та їх обмеження
Міністерство внутрішніх справ та його структурні підрозділи
проводять спеціальні розшукові заходи, кримінальне переслідування, міжнародне співробітництво та ідентифікацію осіб, які вчинили
злочини віднесені до їх компетенції у сфері комп'ютерних технологій, координує, керує і здійснює кримінальне переслідування
в порядку, передбаченому законом. Служба безпеки України, її структурні підрозділи проводять спеціальні розшукові заходи, кримінальне переслідування, та
ідентифікацію осіб, які вчинили злочини віднесені до їх компетенції у сфері комп'ютерних технологій.
Міністерство оборони України з метою забезпечення обороноздатності держави, проводить спеціальні заходи щодо
запобігання, виявлення та припинення загроз, які вчиняються з застосуванням комп'ютерних технологій;
Структурний підрозділ боротьби з кіберзлочинністю Міністерства внутрішніх справ складає і постійно актуалізує бази даних про
злочинність з використанням комп'ютерних технологій, здійснює заходи по попередженню і боротьбі із злочинністю в сфері
комп'ютерної інформації, що становить загрозу національній безпеці, проводить оперативно-розшукові заходи, вживає заходи щодо виявлення зв'язків міжнародних злочинних організацій та в межах
здійснення кримінального переслідування у зв'язку зі зверненням органу кримінального переслідування або за власною ініціативою, про негайне збереження комп'ютерних даних або даних про
інформаційних потоках, щодо яких існує небезпека їх знищення або пошкодження, вживає заходів відповідно до кримінально-
процесуального законодавства, здійснює інші заходи у межах своєї компетенції з цих питань. Національна комісія, що здійснює державне регулювання у сфері
зв'язку та інформатизації (НКРЗІ) спільно з структурним підрозділом боротьби з кіберзлочинністю Міністерства внутрішніх справ
подають пропозиції щодо забезпечення захисту і безпеки комп'ютерних даних.
проводять спеціальні розшукові заходи, кримінальне переслідування, міжнародне співробітництво та ідентифікацію
осіб, які вчинили злочини віднесені до їх компетенції у сфері комп'ютерних технологій, координує, керує і здійснює кримінальне
переслідування в порядку, передбаченому законом. Служба безпеки України, її структурні підрозділи проводять спеціальні розшукові заходи, кримінальне переслідування, та
ідентифікацію осіб, які вчинили злочини віднесені до їх компетенції у сфері комп'ютерних технологій.
Міністерство оборони України з метою забезпечення обороноздатності держави, проводить спеціальні заходи щодо
запобігання, виявлення та припинення загроз, які вчиняються з застосуванням комп'ютерних технологій;
Структурний підрозділ боротьби з кіберзлочинністю Міністерства внутрішніх справ складає і постійно актуалізує бази даних про
злочинність з використанням комп'ютерних технологій та
додержанням законодавства України про захист інформації,
здійснює заходи по попередженню і боротьбі із кіберзлочинами, проводить оперативно-розшукові заходи, вживає заходи щодо виявлення зв'язків міжнародних злочинних організацій та в межах
здійснення кримінального переслідування у зв'язку зі зверненням органу кримінального переслідування та після рішення суду вживає заходи стосовно негайного збереження комп'ютерних
даних або даних про інформаційних потоках, щодо яких існує небезпека їх знищення або пошкодження, вживає заходів
відповідно до кримінально-процесуального законодавства, здійснює інші заходи у межах своєї компетенції з цих питань. Національна комісія, що здійснює державне регулювання у сфері
зв'язку та інформатизації (НКРЗІ) спільно з структурним підрозділом боротьби з кіберзлочинністю Міністерства внутрішніх
справ подають пропозиції щодо забезпечення захисту і безпеки комп'ютерних даних.
Харківський національний університет внутрішніх справ забезпечує професійну підготовку та вдосконалення персоналу, залученого до
боротьби з комп'ютерною злочинністю.
Вищі навчальні заклади забезпечують професійну підготовку та вдосконалення персоналу, залученого до боротьби з комп'ютерною
злочинністю. Проводять фундаментальні дослідження щодо
кіберзлочинності.
Відповідальні підрозділи з боротьби з кіберзлочинністю
компетентних органів влади зобов’язані проводити виявлення
шляхом сканування неправильно сконфігурованих серверів
доменних імен в українському сегменті Інтернет, що можуть
використовуватись зловмисниками для кібер-атак та
повідомляти їх власників про необхідність та спосіб коректної
конфігурації.
Під час розслідування кіберзлочинів органами державної
влади повинно виконуватись наступне:
інформація може перехоплюватися виключно за рішенням
суду на обмежений період часу;
Кримінальним кодексом мають бути передбачені кримінальної
відповідальності державних службовців за неправомірний сбір
та перехоплення даних, а також за зловживання, неналежне
використання чи передачу перехоплених даних третім
сторонам та іноземним державам;
під час збору доказів та таємного перехоплення інформації має
застосовуватися принцип «пропорційності», що визначає
адекватність заходів таємного спостереження та перехоплення
даних величині злочину, та ступеню обґрунтованості запиту;
обов’язкове повідомлення громадянина чи організації про факт
перехоплення їхніх даних (після закінчення слідчих дій).
5 Стаття 6 Взаємодія компетентних органів у сфері попередження і боротьби із злочинністю з використанням комп'ютерних технологій
В рамках діяльності по попередженню і боротьбі із злочинністю в сфері комп'ютерних технологій компетентні органи, постачальники
послуг, неурядові організації, інші представники громадянського суспільства співпрацюють за допомогою обміну інформацією і
Стаття 6 Взаємодія компетентних органів у сфері попередження і боротьби із злочинністю з використанням комп'ютерних технологій
В рамках діяльності по попередженню і боротьбі із злочинністю в сфері комп'ютерних технологій компетентні органи, постачальники
інформаційних послуг, неурядові організації, інші представники громадянського суспільства добровільно, за власним бажанням
експертами, шляхом проведення спільної діяльності по розкриттю злочинів і виявлення злочинців, навчання персоналу, реалізації
ініціатив у цілях здійснення програм, практики, заходів, процедур, реалізації мінімальних стандартів безпеки комп'ютерних систем,
організовують кампанії з інформування про комп'ютерної злочинності та ризики, яким піддаються користувачі комп'ютерних систем, а також здійснюють іншу діяльність у даній сфері.
можуть співпрацювати за допомогою обміну інформацією і експертами, шляхом проведення спільної діяльності по розкриттю
злочинів і виявлення злочинців, навчання персоналу, реалізації ініціатив у цілях здійснення програм, практики, заходів, процедур,
реалізації мінімальних стандартів безпеки комп'ютерних систем, організовують кампанії з інформування про комп'ютерної злочинності та ризики, яким піддаються користувачі комп'ютерних
систем, а також здійснюють іншу діяльність у даній сфері. В установах різної форми власності можуть бути створені
галузеві команди реагування на кіберзлочини, які компетентні
органи зобов’язані повідомляти про правопорушення,
зафіксовані в їх інформаційних системах та координувати з
ними проведення оперативних заходів.
Відповідальні підрозділи з боротьби з кіберзлочинністю
компетентних органів влади зобов’язані публікувати на
захищеному веб сайті та оновлювати актуальний перелік
інтернет-адрес, що постійно беруть участь в атаках та
популяризувати заходи щодо їх добровільного блокування
провайдерами.
Відповідальні підрозділи з боротьби з кіберзлочинністю
компетентних органів влади сприяють передачі керування над
ботнетами громадським організаціям, що компетентні в
керуванні та знешкоджені ботнетів, з метою запобігання їх
злочинному використанню.
Відповідальні підрозділи з боротьби з кіберзлочинністю
компетентних органів влади можуть передавати
деперсоналізовану інформацію про технічні деталі атак
експертам та дослідникам з метою розробки методів захисту.
Відповідальні підрозділи з боротьби з кіберзлочинністю
компетентних органів влади регулярно беруть участь у
конференціях з кібербезпеки та надають звіти щодо рівня
кіберзлочинності, захищеності критичної інфраструктури та
ефективності роботи, співпрацюють з міжнародними
професійними організаціями для підвищення рівня
кваліфікації своїх співробітників та отримання ними
міжнародної сертифікації в галузі кібербезпеки, та аудиту
інформаційних технологій.
6 Стаття 7. Повноваження суб'єктів, які безпосередньо здійснюють
боротьбу з кіберзлочинами Міністерство внутрішніх справ:
здійснює боротьбу з кіберзлочинністю шляхом проведення оперативно-розшукових заходів, спрямованих на запобігання,
виявлення та припинення злочинів з застосуванням комп'ютерних технологій, у тому числі міжнародної; збирає інформацію про діяльність злочинних організацій які
вчиняють злочини використанням комп'ютерних технологій;
забезпечує цілодобово надання негайної допомоги для розслідування або переслідування стосовно кримінальних правопорушень, пов'язаних з комп'ютерними системами і даними, або з метою
збирання доказів у електронній формі, що стосуються кримінального правопорушення;
забезпечує кваліфікований персонал і відповідне обладнання для надання цілодобової негайної допомоги та сприяння роботі цієї мережі.
провадить у межах визначених чинним законодавством повноважень виключно з метою отримання упереджувальної інформації у разі загрози вчинення кіберзлочину або при проведенні оперативно-
технічних пошукових заходів у системах і каналах телекомунікацій, які можуть використовуватися кіберзлочинцями;
забезпечує через структурний підрозділ боротьби з кіберзлочинністю Міністерства внутрішніх справ, координацію діяльності суб'єктів
боротьби з кіберзлочинністю відповідно до визначеної законодавством України компетенції; здійснює досудове слідство у
справах про злочини, пов'язані з використанням комп'ютерних технологій;
Стаття 7. Повноваження суб'єктів, які безпосередньо здійснюють
боротьбу з кіберзлочинами Міністерство внутрішніх справ:
здійснює боротьбу з кіберзлочинністю шляхом проведення оперативно-розшукових заходів, спрямованих на запобігання,
виявлення та припинення злочинів з застосуванням комп'ютерних технологій, у тому числі міжнародної; виключно за рішенням суду збирає інформацію про діяльність
злочинних організацій які вчиняють злочини використанням комп'ютерних технологій;
забезпечує цілодобово надання негайної допомоги для розслідування або переслідування стосовно кримінальних правопорушень, пов'язаних з комп'ютерними системами і даними,
або з метою збирання доказів у електронній формі, що стосуються кримінального правопорушення;
забезпечує кваліфікований персонал і відповідне обладнання для надання цілодобової негайної допомоги та сприяння роботі цієї мережі.
виключно за рішенням суду провадить у межах визначених чинним законодавством повноважень виключно з метою отримання упереджувальної інформації у разі загрози вчинення кіберзлочину
або при проведенні оперативно-технічних пошукових заходів у системах і каналах телекомунікацій, які можуть використовуватися
кіберзлочинцями; забезпечує через структурний підрозділ боротьби з кіберзлочинністю Міністерства внутрішніх справ, координацію
діяльності суб'єктів боротьби з кіберзлочинністю відповідно до визначеної законодавством України компетенції; здійснює досудове
слідство у справах про злочини, пов'язані з використанням комп'ютерних технологій;
ініціює питання накладення на невизначений строк арешту на активи, що пов'язані з фінансуванням в результаті злочинів з
використанням комп'ютерних технологій та стосуються фінансових операцій, зупинених відповідно до рішення, прийнятого на підставі
резолюцій Ради Безпеки ООН, зняття арешту з таких активів та надання доступу до них за зверненням особи, яка може документально підтвердити потреби в покритті основних та
надзвичайних витрат; забезпечує у взаємодію з Службою безпеки України безпеку від
злочинних посягань з використанням комп'ютерних технологій установ України в тому числі за межами її території, їх співробітників та членів їхніх сімей.
Служба безпеки України здійснює боротьбу з кіберзлочинністю шляхом запобігання, виявлення та припинення злочинів, вчинених з
використанням комп'ютерних технологій, розслідування яких віднесене законодавством України до компетенції органів Служби безпеки України.
Міністерство оборони України здійснює боротьбу з кіберзагрозами шляхом запобігання, виявлення та припинення загроз безпеки
оборони держави, які вчиняються з використанням комп'ютерних технологій. Центральні органи виконавчої влади, що забезпечують формування
та реалізують державну політику у сфері цивільного захисту, підпорядковані їм органи управління у справах пов'язаних з використання комп'ютерних технологій; беруть участь у заходах з
мінімізації та ліквідації наслідків таких ситуацій під час проведення операцій по протидії злочинам з використання комп'ютерних
технологій, а також здійснюють просвітницькі та практично-навчальні заходи з метою підготовки населення до безпечної роботи у сфері комп'ютерних технологій.
ініціює питання накладення за рішенням суду арешту на активи, що пов'язані з фінансуванням в результаті злочинів з
використанням комп'ютерних технологій та стосуються фінансових операцій, зупинених відповідно до рішення, прийнятого на підставі
резолюцій Ради Безпеки ООН, зняття арешту з таких активів та надання доступу до них за зверненням особи, яка може документально підтвердити потреби в покритті основних та
надзвичайних витрат; забезпечує у взаємодію з Службою безпеки України безпеку від
злочинних посягань з використанням комп'ютерних технологій установ України в тому числі за межами її території, їх співробітників та членів їхніх сімей.
Служба безпеки України здійснює боротьбу з кіберзлочинністю шляхом запобігання, виявлення та припинення злочинів, вчинених
з використанням комп'ютерних технологій, розслідування яких віднесене законодавством України до компетенції органів Служби безпеки України.
Міністерство оборони України здійснює боротьбу з кіберзагрозами шляхом запобігання, виявлення та припинення загроз безпеки
оборони держави, які вчиняються з використанням комп'ютерних технологій. Центральні органи виконавчої влади, що забезпечують формування
та реалізують державну політику у сфері цивільного захисту, підпорядковані їм органи управління у справах пов'язаних з використання комп'ютерних технологій; беруть участь у заходах з
мінімізації та ліквідації наслідків таких ситуацій під час проведення операцій по протидії злочинам з використання
комп'ютерних технологій, а також здійснюють просвітницькі та практично-навчальні заходи з метою підготовки населення до безпечної роботи у сфері комп'ютерних технологій.
Всім суб’єктам, що беруть участь у боротьбі проти кібер-
злочинів заборонено:
- провокувати осіб на скоєння протиправних дій в кібер-
просторі, з метою їх подальшого засудження за ці дії.
- працювати в інформаційних системах під обліковими даними
осіб, проти яких проводяться слідчі дії, без рішення суду.
7 Стаття 8 Повноваження інших суб'єктів, які залучаються до боротьби з кіберзлочинами
Суб'єкти, які залучаються до боротьби з кіберзлочинами, у межах своєї компетенції здійснюють заходи щодо запобігання, виявлення і
припинення злочинів пов'язаних з використання комп'ютерних технологій; розробляють і реалізують попереджувальні, режимні,
організаційні, виховні та інші заходи; забезпечують умови проведення операцій по протидії кіберзлочинам на об'єктах, що належать до сфери їх управління; надають відповідним підрозділам
під час проведення таких операцій матеріально-технічні та фінансові засоби, засоби транспорту і зв'язку, інші засоби, а також
інформацію, необхідну для виконання завдань щодо боротьби з кіберзлочинами.
Стаття 8 Повноваження інших суб'єктів, які залучаються до боротьби з кіберзлочинами
Суб'єкти, які залучаються до боротьби з кіберзлочинами, у межах своєї компетенції здійснюють заходи щодо запобігання, виявлення і
припинення злочинів, пов'язаних з використання комп'ютерних технологій; розробляють і реалізують попереджувальні, режимні,
організаційні, виховні та інші заходи; забезпечують умови проведення операцій по протидії кіберзлочинам на об'єктах, що належать до сфери їх управління; надають відповідним підрозділам
під час проведення таких операцій матеріально-технічні та фінансові засоби, засоби транспорту і зв'язку, інші засоби, а також
інформацію, необхідну для виконання завдань щодо боротьби з кіберзлочинами.
8 Стаття 9 Взаємодія суб'єктів у сфері попередження і боротьби із злочинністю в сфері комп'ютерної інформації
В рамках діяльності по попередженню і боротьбі із злочинністю в сфері комп'ютерної інформації компетентні органи, постачальники
послуг, неурядові організації, інші представники громадянського суспільства співпрацюють допомогою обміну інформацією, експертами, шляхом проведення спільної діяльності по розкриттю
злочинів і виявлення злочинців, навчання персоналу, реалізації ініціатив в цілях здійснення програм, практик, заходів, процедур,
реалізації мінімальних стандартів безпеки комп'ютерних систем, організовують кампанії з інформування про комп'ютерну злочинність та ризики, яким піддаються користувачі комп'ютерних систем, а
також здійснюють іншу діяльність у даній області.
Стаття 9 Взаємодія суб'єктів у сфері попередження і боротьби із злочинністю в сфері комп'ютерної інформації
В рамках діяльності по попередженню і боротьбі із злочинністю в сфері комп'ютерної інформації компетентні органи, постачальники
інформаційних послуг, неурядові організації, інші представники громадянського суспільства співпрацюють за допомогою обміну інформацією, експертами, шляхом проведення спільної діяльності
по розкриттю злочинів і виявлення злочинців, навчання персоналу, реалізації ініціатив в цілях здійснення програм, практик, заходів,
процедур, реалізації стандартів безпеки комп'ютерних систем, організовують кампанії з інформування про комп'ютерну злочинність та ризики, яким піддаються користувачі комп'ютерних
систем, а також здійснюють іншу діяльність у даній області. Державні суб’єкти по боротьбі з кіберзлочинністю надають
методологічну підтримку галузевим командам реагування на
інциденти комп’ютерної безпеки.
9 Стаття 10 Сприяння органам, які здійснюють боротьбу з
кіберзлочинністю
Державні органи, органи місцевого самоврядування, об'єднання громадян, організації, їх посадові особи зобов'язані сприяти органам, які здійснюють боротьбу з кіберзлочинністю, повідомляти
дані, що стали їм відомі про скоєння комп'ютерних злочинів або будь-які інші обставини з цього приводу, інформація про які може
сприяти запобіганню, виявленню і припиненню злочину з використання комп'ютерних технологій, а також мінімізації його наслідків.
Стаття 10 Сприяння органам, які здійснюють боротьбу з
кіберзлочинністю
Державні органи, органи місцевого самоврядування, об'єднання громадян, організації, їх посадові особи зобов'язані сприяти органам, які здійснюють боротьбу з кіберзлочинністю; вони
можуть повідомляти дані, що стали їм відомі про скоєння комп'ютерних злочинів, інформація про які може сприяти
запобіганню, виявленню і припиненню злочину з використання комп'ютерних технологій, а також мінімізації його наслідків.
10 Стаття 11 Обов'язки власників комп'ютерних систем
Власники комп'ютерних систем, доступ до яких заборонений або обмежений для деяких категорій користувачів, зобов'язані попередити користувачів про правові умови доступу та
користування, а також про правові наслідки несанкціонованого доступу до цих комп'ютерних систем. Попередження повинне бути
доступне для кожного користувача.
Стаття 11 Обов'язки та права власників комп'ютерних систем
Власники комп'ютерних систем, доступ до яких заборонений або обмежений для деяких категорій користувачів, зобов'язані попередити користувачів про правові умови доступу та
користування, а також про правові наслідки несанкціонованого доступу до цих комп'ютерних систем. Попередження повинне бути
доступне для кожного користувача. Власники комп’ютерних систем мають право:
- не розголошувати паролі, ключі та інші аутентифікаційні
дані;
- ознайомитись з процедурою збирання та зберігання цифрових
доказів з їх систем;
- використовувати та підтримувати програмні служби
анонімізації;
- використовувати криптографічні та стенографічні засоби для
захисту власної інформації та обміну даними з третіми
сторонами;
- проводити пошук вразливостей та недоліків безпеки в
інформаційних системах, що належать їм.
Власники комп'ютерних систем, що є працедавцями, не мають
права проникати в особисті приватні почтові скриньки
працівників, сторінки в соціальних мережах, встановлювати
шпигунське програмне забезпечення на персональні пристрої,
що належать працівникам, вимагати дозвіл на доступ к даним,
що належать працівнику в його власних системах та облікових
записах. В разі необхідності доступу до особистих даних, що
належать працівнику та знаходяться на його власних
пристроях, працедавець повинен повідомити працівникові про
обставини, при яких це сталося, та компенсувати нанесену
шкоду.
Власники комп'ютерних систем, що є працедавцями, мають
право, за умови попередження працівника, на моніторинг
електронної кореспонденції, що здійснюється з робочих
поштових скриньок, моніторинг використання робочого часу
працівника та даних, що знаходяться та робочому комп’ютері,
а також моніторинг вихідних інформаційних потоків
працівника на предмет витоку конфіденційної корпоративної
інформації.
11 Стаття 12 Обов'язки постачальника послуг
Постачальники послуг зобов'язані: а) вести облік користувачів послуг; б) повідомляти компетентним органам дані про інформаційні потоки,
у тому числі дані про незаконний доступ до інформації з комп'ютерних систем, спроби впровадження незаконних програм, порушення відповідальними особами правил збору, обробки,
зберігання, поширення і розподілу інформації чи правил захисту комп'ютерної системи, передбачених у відповідності зі статусом
інформації або ступенем її захисту, якщо ці дії сприяли присвоєнню, перетворенню або знищенню інформації або спричинили інші тяжкі наслідки такі як, порушення функціонування комп'ютерних систем,
інші комп'ютерні порушення; в) виконувати в умовах конфіденційності, згідно з національним
законодавством, запити компетентного органу про негайне збереження комп'ютерних даних або даних про інформаційні потоки,
Стаття 12 Обов'язки постачальника інформаційних послуг
Постачальники інформаційних послуг зобов'язані: а) повідомляти компетентним органам дані про незаконний доступ
до інформації з комп'ютерних систем, спроби впровадження зловмисних або піратських програм, порушення відповідальними особами правил збору, обробки, зберігання, поширення і розподілу
інформації чи правил захисту комп'ютерної системи, передбачених у відповідності зі статусом інформації або ступенем її захисту,
якщо ці дії сприяли присвоєнню, перетворенню або знищенню інформації або спричинили інші тяжкі наслідки такі як, порушення функціонування комп'ютерних систем, інші комп'ютерні
порушення; б) виконувати в умовах конфіденційності, згідно з національним
законодавством та за рішенням суду, запити компетентного органу про негайне збереження комп'ютерних даних або даних про
щодо яких існує небезпека їх знищення або пошкодження, на строк не більше 90 календарних днів;
г) надавати компетентним органам інформацію на поданий відповідно до закону запит, а саме - дані про користувачів, у тому
числі про вигляд повідомлення з послуги, що використовується користувачем та про спосіб оплати відповідної послуги;
д) вживати заходи безпеки шляхом застосування деяких процедур, пристроїв або спеціалізованих комп'ютерних програм, за допомогою
яких доступ до комп'ютерної системи обмежується або забороняється для користувачів, що не мають дозволів;
є) забезпечувати моніторинг, нагляд і збереження даних інформаційних потоків для ідентифікації постачальників послуг,
користувачів послуг і каналу, по якому було передано повідомлення, на термін 360 календарних днів;
ж) забезпечувати розшифровку комп'ютерних даних, що містяться в пакетах протоколів мережі, зі збереженням цих даних протягом 120 календарних днів.
У разі, коли даними про інформаційні потоки володіють кілька постачальників послуг, запитуваний постачальник послуг зобов'язаний негайно надати в розпорядження компетентного органу
інформацію, необхідну для ідентифікації інших постачальників послуг.
інформаційні потоки, щодо яких існує небезпека їх знищення або пошкодження, на строк не більше 90 календарних днів;
в) надавати компетентним органам інформацію на поданий відповідно до закону та рішенню суду запит;
г) вживати заходи безпеки шляхом застосування деяких процедур, пристроїв або спеціалізованих комп'ютерних програм, за допомогою яких доступ до комп’ютерної системи або даних
обмежується або забороняється для користувачів, що не мають дозволів;
е) повідомляти всіх сторін, чиї дані перехоплювались, про запити та факт перехоплення їхніх даних після пред’явлення звинувачення, але не пізніше 6 місяців від початку перехоплення.
У разі, коли даними про інформаційні потоки володіють кілька постачальників інформаційних послуг, запитуваний постачальник інформаційних послуг зобов'язаний негайно за рішенням суду
надати в розпорядження компетентного органу інформацію, необхідну для ідентифікації інших постачальників послуг.
Розділ III
УСУНЕННЯ НАСЛІДКІВ КІБЕРЗЛОЧИНІВ ТА ІНШИХ
ПРАВОПОРУШЕНЬ, ПОВ'ЯЗАНИХ З КІБЕРЗЛОЧИННІСТЮ
Розділ III
УСУНЕННЯ НАСЛІДКІВ КІБЕРЗЛОЧИНІВ ТА ІНШИХ
ПРАВОПОРУШЕНЬ, ПОВ'ЯЗАНИХ З КІБЕРЗЛОЧИННІСТЮ
12 Стаття 13 Обмеження доступу до інформації, що надається з Стаття 13 Обмеження доступу до інформації, що надається з
порушенням чинного законодавства
У разі виявлення в інформаційно-телекомунікаційних мережах, у тому числі в мережі "Інтернет", інформації, що надається з
порушенням чинного законодавства, містить заклики до масових безладів, здійснення екстремістської діяльності, участі в масових (публічних) заходах, що проводяться з порушенням встановленого
порядку, включаючи випадки надходження повідомлення про поширення такої інформації від виконавчих органів державної влади,
органів місцевого самоврядування, організацій чи громадян, а також у випадках використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та
поширення інформації, яка порушує законодавство про вибори в Україні, Генеральний прокурор України або його заступники вносять
до уповноваженого органу припис про усунення порушень закону з вимогою про вжиття заходів щодо тимчасового призупинення роботи мережі та (або) засобів зв'язку, надання послуг зв'язку, доступу до
Інтернет-ресурсів і (або) розміщеної на них інформації. Таким уповноваженим органом в Україні є Національна комісія з
питань захисту інформації та інформаційних технологій. Національна комісія з питань захисту інформації та інформаційних технологій, є державним колегіальним органом, підпорядкованим
Президенту України, підзвітним Верховній Раді України і створюється на виконання цього закону Президентом України з числа керівних працівників МВС, СБУ, Міноборони, НКРЗІ та
представників ЗМІ і громадськості (за згодою). Робочим апаратом Уповноваженого органу є окремий відділ структурного підрозділу
боротьби з кіберзлочинністю Міністерства внутрішніх справ, створений за рахунок додаткової чисельності працівників, Уповноважений орган, на підставі припису, зазначеного в абзаці 2
цієї статті, негайно, протягом трьох годин з моменту отримання припису:
1 - направляє по системі взаємодії операторам зв'язку вимогу про прийняття заходів щодо обмеження доступу до інформаційного
порушенням чинного законодавства
У разі виявлення в інформаційно-телекомунікаційних мережах, у тому числі в мережі Інтернет, інформації, що може зашкодити
інтересам національної безпеки або територіальної цілісності,
заохочення до скоєння терористичних актів включаючи випадки надходження повідомлення про поширення такої
інформації від виконавчих органів державної влади, органів місцевого самоврядування, організацій чи громадян, РНБО
вносять на розгляд Генеральної прокуратури України обґрунтовану інформацію з метою усунення порушень закону та необхідністю вжиття заходів щодо тимчасового призупинення
доступу до таких Інтернет-ресурсів та/або розміщеної на них інформації.
Після отримання дозволу на тимчасове призупинення доступу
до таких інтернет-ресурсів та/або розміщеної на них інформації
від Генеральної прокуратури України або за рішенням суду
структурний підрозділ з боротьби з кіберзлочинністю МВС
України протягом трьох годин з моменту отримання дозволу:
1 - направляє провайдерам інформаційних послуг вимогу про
прийняття заходів щодо обмеження доступу до інтернет-ресурсу
та/або до інформації, розміщеної на ньому. Ця вимога повинна
містити доменне ім'я сайту в мережі інтернет, мережеву адресу,
ресурсу, у тому числі до сайту в мережі "Інтернет", або до інформації, розміщеної на ньому і містить інформацію надану з
порушенням чинного законодавства, заклики до масових безладів, здійснення екстремістської діяльності, участі в масових (публічних)
заходах, що проводяться з порушенням встановленого порядку та/або використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та
поширення інформації, яка порушує законодавство про вибори в Україні. Дана вимога повинна містити доменне ім'я сайту в мережі
"Інтернет", мережеву адресу, покажчики сторінок сайту в мережі "Інтернет", що дозволяють ідентифікувати таку інформацію ; 2 - визначає провайдера хостингу або іншу особу, що забезпечує
розміщення в інформаційно-телекомунікаційній мережі, у тому числі в мережі "Інтернет", зазначеного інформаційного ресурсу,
обслуговуючого власника сайту в мережі "Інтернет", на якому розміщена інформація, що містить інформацію надану з порушенням чинного законодавства, заклики до масових безладів, здійснення
екстремістської діяльності, участі в масових (публічних) заходах, що проводяться з порушенням встановленого порядку та/або
використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та поширення інформації, яка порушує законодавство про вибори в
Україні; 3 - спрямовує провайдеру хостингу або іншій особі, вказаній у пункті 2 цього абзацу, повідомлення в електронному вигляді
українською та англійською мовами про порушення порядку розповсюдження інформації із зазначенням доменного імені та
мережевої адреси, що дозволяють ідентифікувати сайт у мережі "Інтернет", на якому розміщена інформація надана з порушенням чинного законодавства, містить заклики до масових безладів,
здійснення екстремістської діяльності, участі в масових (публічних) заходах, що проводяться з порушенням встановленого порядку
та/або використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та
покажчики сторінок сайту в мережі "Інтернет", що дозволяють
ідентифікувати таку інформацію ;
2 - визначає провайдера хостингу або іншу особу, що забезпечує
розміщення в інформаційно-телекомунікаційній мережі, у тому
числі в мережі інтернет, зазначеного інформаційного ресурсу,
обслуговуючого власника сайту в мережі інтернет, на якому
розміщена ця інформація; визначає чи існує галузева команда
реагування на комп"ютерні інциденти, що координує усунення
інцидентів для вказаного ресурсу.
3 - спрямовує провайдеру хостингу або іншій особі, вказаній у
пункті 2 цього абзацу, повідомлення в електронному вигляді
українською та англійською мовами про порушення порядку
розповсюдження інформації із зазначенням доменного імені та
мережевої адреси, що дозволяють ідентифікувати сайт у мережі
інтернет, на якому розміщена інформація, що може зашкодити
інтересам національної безпеки, територіальної цілісності,
заохочення до скоєння терористичних актів включаючи
поширення інформації, яка порушує законодавство про вибори в Україні, а також покажчиків сторінок сайту в мережі "Інтернет", що
дозволяють ідентифікувати таку інформацію, і з вимогою вжити заходів щодо видалення такої інформації;
4 - фіксує дату і час направлення вимоги провайдеру хостингу або іншій особі вказаній у пункті 2 цього абзацу про усунення порушень
порядку розповсюдження інформації. Після отримання по системі взаємодії, вимоги Національної комісії з
питань захисту інформації та інформаційних технологій про вжиття заходів щодо обмеження доступу, оператор зв'язку, який надає послуги з надання доступу до інформаційно-телекомунікаційної
мережі "Інтернет", зобов'язаний негайно, протягом одного часу з моменту отримання вимоги Уповноваженого органу, обмежити
доступ до інформаційного ресурсу, у тому числі до сайту в мережі "Інтернет", або до інформації, розміщеної на ньому і містить інформацію надану з порушенням чинного законодавства, заклики
до масових безладів, здійснення екстремістської діяльності, участі в масових (публічних) заходах, що проводяться з порушенням
встановленого порядку та/або використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та поширення інформації, яка порушує
законодавство про вибори в Україні. Протягом не більше трьох годин з моменту отримання повідомлення, зазначеного в пункті 1 абзацу 3 цієї статті, провайдер хостингу або
інша зазначена в пункті 2 абзацу 3 цієї статті особа зобов'язані проінформувати про це обслуговуючого власника інформаційного
ресурсу та повідомити його про необхідність негайно видалити інформацію, що надана з порушенням чинного законодавства, містить заклики до масових безладів, здійснення екстремістської
діяльності, участі в масових (публічних) заходах, що проводяться з порушенням встановленого порядку та/або використання мереж і
(або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та поширення інформації,
випадки надходження повідомлення про поширення такої
інформації від виконавчих органів державної влади, органів
місцевого самоврядування, організацій чи громадян, а також
покажчиків сторінок сайту в мережі інтернет, що дозволяють
ідентифікувати таку інформацію, і з вимогою вжити заходів
щодо видалення такої інформації;4 - фіксує дату і час
направлення вимоги провайдеру хостингу або іншій особі,
вказаній у пункті 2 цього абзацу, про усунення порушень
порядку розповсюдження інформації.
Після отримання цієї вимоги про вжиття заходів щодо
обмеження доступу, провайдер інформаційних послуг,
зобов'язаний негайно, протягом одного часу з моменту
отримання вимоги, обмежити доступ до інформаційного
ресурсу та/або до інформації, розміщеної на ньому і містить
інформацію, надану з порушенням чинного законодавства. Дії
провайдера повинні бути погоджені з галузевою командою, що
координує усунення інцидентів для вказаного інформаційного
ресурсу (якщо такая існує).
Протягом не більше трьох годин з моменту отримання дозволу,
зазначеного в пункті 1 абзацу 3 цієї статті, провайдер хостингу
або інша зазначена в пункті 2 абзацу 3 цієї статті особа
зобов'язані проінформувати про це обслуговуючого власника
інформаційного ресурсу та повідомити його про необхідність
негайно видалити інформацію, що надана з порушенням
чинного законодавства України.
яка порушує законодавство про вибори в Україні. У разі, якщо власник інформаційного ресурсу видалив інформацію,
що містить заклики до масових безладів, здійснення екстремістської діяльності, участі в масових (публічних) заходах, що проводяться з
порушенням встановленого порядку та/або використання мереж і (або) засобів зв'язку в злочинних цілях, що завдають шкоди інтересам особи, суспільства і держави та поширення інформації,
яка порушує законодавство про вибори в Україні, він направляє про це офіційне повідомлення до Національної комісії з питань захисту
інформації та інформаційних технологій. Таке повідомлення може бути направлено в електронному вигляді і завірене електронним підписом.
Після отримання повідомлення, зазначеного в абзаці 6 цієї статті, та перевірки його достовірності, Національна комісія з питань захисту
інформації та інформаційних технологій, зобов'язана негайно повідомити по системі взаємодії оператора зв'язку, який надає послуги з надання доступу до інформаційно-телекомунікаційної
мережі "Інтернет", про відновлення доступу до інформаційного ресурсу, у тому числі до сайту в мережі "Інтернет".
Після отримання повідомлення, зазначеного в абзаці 7 цієї статті, оператор зв'язку негайно відновлює доступ до інформаційного ресурсу, у тому числі до сайту в мережі "Інтернет" та офіційно
повідомляє про це Національну комісію з питань захисту інформації та інформаційних технологій, Генеральну прокуратуру України і структурний підрозділ боротьби з кіберзлочинністю Міністерства
внутрішніх справ.
У разі, якщо власник інформаційного ресурсу видалив
зазначену вище інформацію, він направляє про це офіційне
повідомлення до РНБО або структурного підрозділу з боротьби
з кіберзлочинністю МВС України. Таке повідомлення може
бути направлено в електронному вигляді і завірене
електронним підписом.
Після отримання повідомлення, зазначеного в абзаці 6 цієї
статті, та перевірки його достовірності, структурний підрозділ
з боротьби з кіберзлочинністю зобов'язаний негайно
повідомити провайдера інформаційних послуг про
відновлення доступу до зазначеного вище інтернет-ресурсу.
Після отримання повідомлення, зазначеного в абзаці 7 цієї
статті, провайдер інформаційних послуг негайно відновлює
доступ до інтернет-ресурсу та офіційно повідомляє про це
структурний підрозділ з боротьби з кіберзлочинністю МВС
України та Генеральну прокуратуру України.
13 Стаття 14.Відшкодування збитків
Збитки, заподіяні державі, підприємству, установі, організації або фізичній особі в результаті скоєння кіберзлочину, підлягають
відшкодуванню винними особами, на загальних підставах і умовах матеріальної відповідальності.
Стаття 14.Відшкодування збитків
Збитки, заподіяні державі, підприємству, установі, організації або фізичній особі в результаті скоєння кіберзлочину, підлягають
відшкодуванню винними особами, на загальних підставах і умовах матеріальної відповідальності.
У разі відмови добровільно повернути незаконно одержані з використанням комп'ютерних технологій винною особою, кредити,
позички, цінні папери, нерухомість та інше майно вони чи їх вартість підлягають стягненню (вилученню) в доход держави в
судовому порядку за заявою прокурора. Одержання субсидій, субвенцій, дотацій, кредитів та пільг у
результаті кіберзлочину, тягне за собою визнання укладеної угоди недійсною з наслідками, передбаченими Цивільним кодексом
України ( 1540-06 ).
У разі відмови добровільно повернути незаконно одержані з використанням комп'ютерних технологій винною особою, кредити,
позички, цінні папери, нерухомість та інше майно вони чи їх вартість підлягають стягненню (вилученню) на користь
потерпілої сторони чи в доход держави в судовому порядку за заявою прокурора. Одержання субсидій, субвенцій, дотацій, кредитів та пільг у
результаті кіберзлочину, тягне за собою визнання укладеної угоди недійсною з наслідками, передбаченими Цивільним кодексом
України ( 1540-06 ).
14 Стаття 15. Скасування неправомірних нормативно-правових актів та рішень, прийнятих внаслідок кіберзлочину
Прийняті внаслідок кіберзлочину неправомірні нормативно-правові
акти та рішення підлягають скасуванню органом або посадовою особою, уповноваженими на прийняття чи скасування відповідних актів та рішень, або визнаються незаконними в судовому порядку.
Стаття 15. Скасування неправомірних нормативно-правових актів та рішень, прийнятих внаслідок кіберзлочину
Прийняті внаслідок кіберзлочину неправомірні нормативно-
правові акти та рішення підлягають скасуванню за рішенням суду
чи органом або посадовою особою, уповноваженими на прийняття чи скасування відповідних актів та рішень, або визнаються
незаконними в судовому порядку. Посадові особи, що склали неправомірні нормативно-правові
акти за допомогою неавторизованої зміни даних або іншого
кіберзлочину, відстороняються від виконання обов’язків та
несуть відповідальність згідно законодавства.
15 Стаття 16 Поновлення прав та відшкодування збитків фізичним та юридичним особам
Фізичні та юридичні особи, права яких порушено внаслідок кіберзлочину і які зазнали моральної чи матеріальної шкоди, мають
право на поновлення цих прав і відшкодування шкоди у встановленому законом порядку.
Статтю 16 Поновлення прав та відшкодування збитків фізичним та юридичним особам
Фізичні та юридичні особи, права яких порушено внаслідок кіберзлочину і які зазнали моральної чи матеріальної шкоди, мають
право на поновлення цих прав і відшкодування шкоди у встановленому законом порядку. Фізичні та юридичні особи, права яких порушено внаслідок
неправомірних дій при розслідувані кіберзлочину,
неналежному оформленні та поводженні з доказами, мають
право на відшкодування шкоди від держави у встановленому
законом порядку.
Посадові особи, що скоїли неправомірні дії при розслідувані
кібер-злочинів, відстороняються від виконання обов’язків та
несуть відповідальність згідно законодавства.
Розділ IV
МІЖНАРОДНЕ СПІВРОБІТНИЦТВО
Розділ IV
МІЖНАРОДНЕ СПІВРОБІТНИЦТВО
Стаття 17. Засади міжнародного співробітництва у сфері боротьби з кіберзлочинністю
Україна відповідно до укладених нею міжнародних договорів
співпрацює, у відповідності з законами та з дотриманням
зобов'язань, передбачених міжнародними угодами, однією із сторін яких є держава Україна, з іншими країнами, їх правоохоронними
органами і спеціальними службами, а також з міжнародними організаціями, які здійснюють боротьбу з кіберзлочинністю.
Співпраця передбачає:
міжнародну допомогу в галузі кримінального права; екстрадицію;
ідентифікацію; блокування, секвестр і конфіскацію продукції і засобів злочину; здійснення спільних розслідувань;
обмін інформацією; підготовку кадрів в сфері цієї діяльності.
Стаття 17. Засади міжнародного співробітництва у сфері боротьби з кіберзлочинністю
Україна відповідно до укладених нею міжнародних договорів
співпрацює, у відповідності з законами та з дотриманням
зобов'язань, передбачених міжнародними угодами, однією із сторін яких є держава Україна, з іншими країнами, їх правоохоронними
органами і спеціальними службами, а також з міжнародними організаціями, які здійснюють боротьбу з кіберзлочинністю.
Співпраця передбачає:
міжнародну допомогу в галузі кримінального права; екстрадицію;
ідентифікацію; блокування, секвестр і конфіскацію продукції і засобів
злочину;
здійснення спільних розслідувань; обмін інформацією; підготовку кадрів в сфері цієї діяльності.
Стаття 18. Спільна оперативно-розшукова діяльність та здійснення кримінального переслідування
За запитом компетентних органів України або компетентних органів інших держав на території України можуть здійснюватися,
згідно з законом, спільні оперативно-розшукові дії в рамках кримінального переслідування з метою попередження та боротьби зі злочинністю у сфері комп'ютерних технологій.
Стаття 18. Спільна оперативно-розшукова діяльність та здійснення кримінального переслідування
За запитом компетентних органів України або компетентних органів інших держав на території України можуть здійснюватися,
згідно з законом, спільні оперативно-розшукові дії в рамках кримінального переслідування з метою попередження та боротьби зі злочинністю у сфері комп'ютерних технологій.
Спільні розслідування здійснюються також на основі двосторонніх або багатосторонніх угод, укладених компетентними органами.
Представники компетентних органів України можуть брати участь у спільних розслідувань, здійснюваних на території інших держав, з дотриманням законодавства цих держав.
Спільні розслідування здійснюються також на основі двосторонніх або багатосторонніх угод, укладених компетентними органами.
Представники компетентних органів України можуть брати участь у спільних розслідуваннях, здійснюваних на території інших держав, з дотриманням законодавства цих держав.
16 Стаття 19 Надання інформації на запити компетентних органів інших держав
Інформацію іноземній державі з питань, пов'язаних із боротьбою з кіберзлочинністю, Україна надає на підставі запиту, додержуючись
вимог законодавства України та її міжнародно-правових зобов'язань.
У рамках міжнародного співробітництва компетентні органів інших держав можуть запитувати у компетентних органів України негайне збереження комп'ютерних даних або даних інформаційних потоків,
наявних у будь-якої комп'ютерної системи на території України, щодо яких компетентний орган іншої держави повинен
сформулювати аргументований запит про надання міжнародної правової допомоги у сфері кримінального права. Запит про негайне збереження комп'ютерних даних, повинен
містити: - найменування органу, який робить запит;
- коротке представлення фактів, які є предметом кримінального переслідування, і їх правову аргументацію; - комп'ютерні дані, збереження яких запитується;
- будь-яку доступну інформацію, необхідну для ідентифікації власника комп'ютерних даних, виявлення комп'ютерної системи;
- корисність комп'ютерних даних і необхідність їх збереження; - намір компетентних органів інших держав має бути сформульовано як запит про надання міжнародної правової допомоги в області
кримінального права. Термін збереження зазначених в абзаці першому цієї статі даних, не
Стаття 19 Надання інформації на запити компетентних органів інших держав
Інформацію іноземній державі з питань, пов'язаних із боротьбою з кіберзлочинністю, Україна надає на підставі запиту, після рішення
суду, додержуючись вимог законодавства України та її міжнародно-правових зобов'язань.
У рамках міжнародного співробітництва компетентні органів інших держав можуть запитувати у компетентних органів України негайне збереження комп'ютерних даних або даних інформаційних
потоків, наявних у будь-якої комп'ютерної системи на території України, щодо яких компетентний орган іншої держави повинен
сформулювати аргументований запит про надання міжнародної правової допомоги у сфері кримінального права. Запит про негайне збереження комп'ютерних даних, повинен
містити: - найменування органу, який робить запит;
- представлення фактів, які є предметом кримінального переслідування, і їх правову аргументацію; - комп'ютерні дані, збереження яких запитується;
- будь-яку доступну інформацію, необхідну для ідентифікац ії власника комп'ютерних даних, виявлення комп'ютерної системи;
- корисність комп'ютерних даних і необхідність їх збереження; - намір компетентних органів інших держав має бути сформульовано як запит про надання міжнародної правової
допомоги в області кримінального права. Термін збереження зазначених в абзаці першому цієї статі даних,
може бути меншим, ніж 60 календарних днів і є дійсним до прийняття компетентним органом Україна рішення про надання
міжнародної правової допомоги у сфері кримінального права. Передача комп'ютерних даних здійснюється лише після прийняття
компетентним органом України запиту про надання міжнародної правової допомоги у сфері кримінального права.
не може бути меншим, ніж 60 календарних днів і є дійсним до прийняття компетентним органом Україна рішення про надання
міжнародної правової допомоги у сфері кримінального права. Передача комп'ютерних даних здійснюється лише після прийняття
компетентним органом України запиту про надання міжнародної правової допомоги у сфері кримінального права та відповідного
рішення суду.
Передача даних іншій країні можливо лише за рішенням суду з
дотримання законодавства України про збір таких даних. Не
можуть бути передані дані, якщо їх передача загрожує
національній безпеці України.
Видача даних неможлива країні, що спонсорує терористів,
тимчасово окупувала територію України або у стані війни з
Україною.
При передачі та збережені цифрових доказів, що були
запрошені іншою країною, на території цієї країни повинен
забезпечуватися захист цих даних еквівалентним ступеню
захисту в Україні.
Усі особи, дані про яких були надані на запит іншої держави,
обов’язково повідомляються про обсяг та зміст переданих
даних, якщо іншого не вирішив суд України. Але заборона про
затримку у повідомлені не може перевищувати 6 місяців.
17 Стаття 20 Конфіденційність і обмеження у використанні комп'ютерних даних
У разі відсутності між Стороною, яка запитує, і Стороною, яку запитують, чинних договорів про взаємну допомогу чи угод на
основі єдиного чи взаємного законодавства, застосовуються положення цієї статті. Положення цієї статті не застосовуються у разі наявності такого
договору, угоди або законодавства, якщо тільки зацікавлені Сторони не погоджуються застосовувати замість них, частково або повністю,
нижчевикладені положення цієї статті. Сторона, яку запитують, може ставити умовою для надання
Стаття 20 Конфіденційність і обмеження у використанні комп'ютерних даних
У разі відсутності між Стороною, яка запитує, і Стороною, яку запитують, чинних договорів про взаємну допомогу чи угод на
основі єдиного чи взаємного законодавства, застосовуються положення цієї статті. Положення цієї статті не застосовуються у разі наявності такого
договору, угоди або законодавства, якщо тільки зацікавлені Сторони не погоджуються застосовувати замість них, частково або
повністю, нижчевикладені положення цієї статті. Сторона, яку запитують, може ставити умовою для надання
інформації або матеріалів у відповідь на запит, вимогу, що таке надання інформації залишиться конфіденційним, а запит про
взаємну правову допомогу не можна було б виконати за відсутності такої умови і не використовуватиметься для розслідувань або
переслідувань, що не зазначені у запиті. Якщо Сторона, яка запитує, не може виконати умову, що міститься в абзаці 2 цієї статті, вона терміново інформує про це іншу Сторону,
яка після цього визначає, чи може інформація бути надана, незважаючи на це.
Якщо Сторона, яка запитує, приймає умову, вона є обов'язковою для неї. Будь-яка Сторона, яка надає інформацію або матеріали за умови, що
міститься в абзаці 2 цієї статті, може вимагати, щоб інша Сторона надала пояснення про використання такої інформації у зв'язку із
такою умовою.
інформації або матеріалів у відповідь на запит, вимогу, що таке надання інформації залишиться конфіденційним, а запит про
взаємну правову допомогу не можна було б виконати за відсутності такої умови і не використовуватиметься для розслідувань або
переслідувань, що не зазначені у запиті. Якщо Сторона, яка запитує, не може виконати умову, що міститься в абзаці 2 цієї статті, вона терміново інформує про це іншу
Сторону, яка після цього визначає, чи може інформація бути надана, незважаючи на це.
Якщо Сторона, яка запитує, приймає умову, вона є обов'язковою для неї. Будь-яка Сторона, яка надає інформацію або матеріали за умови,
що міститься в абзаці 2 цієї статті, може вимагати, щоб інша Сторона надала пояснення про використання такої інформації у
зв'язку із такою умовою.
18 Стаття 21 Видача (екстрадиція) осіб, що брали участь у скоєнні кіберзлочину
Скоєння кіберзлочину іноземцями або особами без громадянства, які
не проживають в Україні постійно, може бути підставою для видачі таких осіб іншій державі для притягнення до кримінальної відповідальності.
Видача зазначених у частині першій цієї статті осіб, з метою притягнення до кримінальної відповідальності та виконання примусових актів іноземної держави, здійснюється згідно з
законодавством і зобов'язаннями, узятими Україною у зв'язку із ратифікацією Європейської конвенції про видачу правопорушників
(995_033), 1957 р., Європейської конвенції про кіберзлочинність ( 994_789 ) 2001 р. та інших міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, а також на
засадах взаємності.
Стаття 21 Видача (екстрадиція) осіб, що брали участь у скоєнні кіберзлочину
Скоєння кіберзлочину іноземцями або особами без громадянства,
які не проживають в Україні постійно, може бути підставою для видачі таких осіб іншій державі для притягнення до кримінальної відповідальності.
Видача зазначених у частині першій цієї статті осіб, з метою притягнення до кримінальної відповідальності та виконання примусових актів іноземної держави, здійснюється згідно з
законодавством і зобов'язаннями, узятими Україною у зв'язку із ратифікацією Європейської конвенції про видачу правопорушників
(995_033), 1957 р., Європейської конвенції про кіберзлочинність (994_789 ) 2001 р. та інших міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, а також на
засадах взаємності. Видача зазначених у частині першій цієї статті осіб з метою
притягнення до кримінальної відповідальності та виконання
примусових актів іноземної держави можливе лише у випадку,
якщо дії осіб порушили чинне законодавство України та
тягнуть за собою еквівалентну відповідальність. Особа не може
бути видана країні, що спонсорує терористів, тимчасово
окупувала територію України або у стані війни з Україною.
Особа не може бути видана в разі, якщо вона понесла вже
відповідальність за злочин в Україні.
Особа не може бути видана, якщо не надані всі докази її
провини, які належним чином оформлені та збережені згідно
Українського законодавства.
Розділ V ВІДПОВІДАЛЬНІСТЬ
Розділ V ВІДПОВІДАЛЬНІСТЬ
Стаття 22. Відповідальність за порушення цього закону
Порушення цього закону тягне за собою дисциплінарну,
цивільну, адміністративну або кримінальну відповідальність згідно з законодавством України.
Стаття 22. Відповідальність за порушення цього закону
Порушення цього закону тягне за собою дисциплінарну,
цивільну, адміністративну або кримінальну відповідальність згідно з законодавством України та Кримінальним кодексом України.
Розділ VI
КОНТРОЛЬ І НАГЛЯД ЗА ЗАКОННІСТЮ ЗДІЙСНЕННЯ БОРОТЬБИ З КІБЕРЗЛОЧИННІСТЮ
Розділ VI
КОНТРОЛЬ І НАГЛЯД ЗА ЗАКОННІСТЮ ЗДІЙСНЕННЯ БОРОТЬБИ З КІБЕРЗЛОЧИННІСТЮ
Стаття 23. Контроль за здійсненням боротьби з кіберзлочинністю
Контроль за дотриманням законодавства при проведенні боротьби з кіберзлочинністю здійснюється Верховною Радою України в порядку, визначеному Конституцією України. Контроль за
діяльністю суб'єктів боротьби з кіберзлочинністю здійснюється Президентом України та Кабінетом Міністрів України в порядку,
визначеному Конституцією і законами України.
Стаття 23. Контроль за здійсненням боротьби з кіберзлочинністю
Контроль за дотриманням законодавства при проведенні боротьби з кіберзлочинністю здійснюється Верховною Радою
України в порядку, визначеному Конституцією України. Контроль
за діяльністю суб'єктів боротьби з кіберзлочинністю здійснюється Президентом України, РНБО та Кабінетом Міністрів України в
порядку, визначеному Конституцією і законами України.
Розділ VII ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Розділ VII ПРИКІНЦЕВІ ПОЛОЖЕННЯ
1. Цей Закон набирає чинності з дня його офіційного
опублікування. 2. Кабінету Міністрів України у тримісячний строк з дня
1. Цей Закон набирає чинності з дня його офіційного
опублікування. 2. Кабінету Міністрів України у тримісячний строк з дня
набрання чинності цим Законом: привести нормативно-правові акти у відповідність із цим
Законом; забезпечити перегляд і скасування міністерствами та іншими
центральними органами виконавчої влади їх нормативно-правових актів, що суперечать цьому Закону.
набрання чинності цим Законом: внести зміни до Кримінального кодексу України стосовно
визначення кіберзлочинів та міри відповідальності за їх
скоєння;
привести нормативно-правові акти у відповідність із цим Законом;
забезпечити перегляд і скасування міністерствами та іншими
центральними органами виконавчої влади їх нормативно-правових актів, що суперечать цьому Закону.
РНБО, органам державної влади, які приймають участь у
попередженні та розслідуванні кіберзлочинів, розробити та
постійно оновлювати перелік основних кіберзлочинів та
методичні рекомендації щодо їх попередження та
розслідування.
МВС разом з ДССЗЗІ розробити методику збирання, зберігання
та захисту цифрових доказів.
Додаток:
Ваажаємо за доцільне звернути увагу на формування вимог щодо роботи з цифровими доказами та пропонуємо розглянути наступні
вимоги:
- усі цифрові докази, в тому числі перехоплення інформації, дослідження комп’ютерів, мереж та інших пристроїв та інформаційних
потоків можливе лише за рішенням суду;
- процедура збору цифрових доказів повинна бути представлена перед їх збиранням власнику інформаційної системи та бути
зрозумілою і зберігатися разом з доказами;
- повинний бути забезпечений захист цифрових доказів від крадіжки, знищення, а також забезпечена цілісність та доступність
цифрових доказів відповідним структурам, які задіяні у розслідуванні кіберзлочину;
- протокол всіх дій з цифровим доказом повинен зберігатися разом із доказом;
- повинен вестись облік всіх копій цифрових доказів;
- цифрові докази за можливістю мають збиратися без вилучення обладнання.
Президент ГО «ІСАКА КИЇВ» Янковський О.Ю.