Меморандум про взаєморозуміння
між Україною та Європейським поліцейським офісом
щодо встановлення захищеної лінії зв'язку

(Меморандум ратифіковано Законом
N 507-VIII від 04.06.2015)

Україна

для цілей цього Меморандуму про взаєморозуміння представлена в особі Міністра внутрішніх справ (далі - "Міністерство")

та

Європейський поліцейський офіс

для цілей цього Меморандуму про взаєморозуміння представлений в особі Директора (далі - "Європол"),

далі разом як "Сторони" або окремо як "Сторона",

керуючись Угодою між Україною та Європейським поліцейським офісом про стратегічне співробітництво від 4 грудня 2009 року (далі - "Угода про співробітництво"),

зважаючи на те, що обмін інформацією між Сторонами на підставі Угоди про співробітництво передбачає встановлення захищеної лінії зв'язку між ними,

враховуючи намір Сторін посилити співробітництво шляхом укладання угоди про оперативне співробітництво в майбутньому,

домовились про таке:

Стаття 1
Мета

Метою цього Меморандуму про взаєморозуміння є врегулювання порядку встановлення, введення в дію та експлуатації захищеної лінії зв'язку для обміну інформацією між Сторонами.

Стаття 2
Обмін інформацією

1. Обмін інформацією між Сторонами повинен здійснюватися тільки згідно з законодавством України, відповідними правовими актами Європолу та відповідними положеннями Угоди про співробітництво.

2. Передача інформації з обмеженим доступом захищеною лінією зв'язку обмежена ступенем доступу до інформації RESTREINT UE / EU RESTRICTED (ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ) та її еквівалентом в Україні.

Стаття 3
Кодекс Зв'язку

1. Обидві Сторони зобов'язуються дотримуватись мінімальних стандартів безпеки, закріплених у Додатку 1 до цього Меморандуму про взаєморозуміння ("Кодекс Зв'язку для захищеної мережі Європолу", далі - "Кодекс зв'язку"). Обидві Сторони підтверджують, що вони захистили системи зв'язку відповідно до базових стандартів безпеки оптимальними стратегіями та технологіями, а також врахували міри захисту, закріплені в Кодексі зв'язку.

2. Шляхом підписання цього Меморандуму про взаєморозуміння, Міністерство погоджується із Заявою про дотримання Кодексу Зв'язку, яка регулюється пунктом 1.4. частини D Кодексу зв'язку.

3. У випадку, якщо одна зі Сторін істотно ухиляється від виконання принципів та положень, визначених даною статтею або Кодексом зв'язку, зв'язок між двома мережами може бути припинено, доки дані питання не будуть вирішені.

4. Обидві Сторони погоджуються, що подальше з'єднання з будь-якою іншою мережею має бути закріплено в схожій угоді (Кодекс зв'язку), яка обумовить базовий захист такого з'єднання.

5. Обидві Сторони погоджуються не втручатись в інформаційно-комунікаційні системи одна одної, не здійснювати підключення чи відключення кабелів, обладнання до отримання чітких вказівок або до настання надзвичайної ситуації.

6. У випадку виникнення серйозної проблеми в системі безпеки, такої як, наприклад, зараження вірусом, Сторона повинна від'єднатись від системи іншої Сторони з метою запобігання подальшого поширення будь-якого вірусу.

7. Перед внесенням будь-яких змін в мережеві системи, які пов'язані з мережею іншої Сторони або які впливають на поточне з'єднання, необхідно надати попереднє письмове повідомлення керівнику Ресурсного Департаменту Європолу у випадку, коли це стосується Європолу, та відповідному Контактному пункту, призначеному для реалізації положень цього Меморандуму про взаєморозуміння, якщо це стосується Міністерства. Якщо виникне необхідність в робочій зустрічі з даного питання, вона має бути проведена, перш ніж будуть здійснені будь-які зміни.

8. Обидві Сторони домовляються використовувати системи зв'язку лише задля мети, вказаної у цьому Меморандумі про взаєморозуміння.

9. Кожна Сторона відповідає за захист власних систем, починаючи з демаркаційної точки.

10. Обидві Сторони погоджуються не здійснювати жодних видів перевірок, сканувань на пошук прогалин або втручань в інші системи без попереднього дозволу іншої Сторони.

11. Обидві Сторони погоджуються ділитись інформацією щодо загроз та прогалин, які можуть впливати на інші системи.

12. Обладнання Європолу, встановлене в приміщеннях Міністерства, є власністю Європолу. Обладнання Міністерства, встановлене в приміщеннях Європолу, є власністю Міністерства. Власник обладнання відповідає за його захист, однак залежно від обставин можуть укладатися двосторонні угоди, що містять виключення з цього принципу.

13. Кожна Сторона відповідає за стан власного обладнання. З метою вирішення питань щодо технічної підтримки та обслуговування системні адміністратори мережі кожної зі Сторін можуть складати відповідні запити. Процедура розгляду таких запитів регулюватиметься на двосторонній основі між Міністерством та Європолом.

Стаття 4
Закупка, утримання та розподіл коштів

1. Відповідно до правил закупівлі товарів, Європол здійснює закупки всіх товарів та послуг, необхідних для встановлення, введення в дію та експлуатації захищеної лінії зв'язку.

2. Витрати на встановлення захищеної лінії зв'язку також оплачуються Європолом. Захищена лінія зв'язку та все обладнання, пов'язане з нею, надаються Європолом та залишаються у власності Європолу.

3. Європол відповідає за функціонування захищеної лінії зв'язку та, якщо це необхідно, за заміну пошкодженого обладнання. Міністерство, відповідно до існуючих правил, забезпечує доступ уповноваженого Європолом персоналу до необхідних приміщень з метою здійснення технічної підтримки та заміни пошкодженого обладнання. У випадку виявлення Міністерством несправностей, необхідно першочергово звертатись по технічну допомогу до персоналу підрозділу Європолу з підтримки користувачів.

4. Щомісячні експлуатаційні витрати на захищену лінію зв'язку розподіляються між Сторонами навпіл, тобто кожна Сторона сплачує 50 % від вартості. Європол буде сплачувати наперед всі необхідні щомісячні експлуатаційні витрати. Міністерство відшкодовуватиме 50 % від щомісячних фактично понесених експлуатаційних витрат згідно з виставленим Європолом рахунком на відшкодування витрат на щоквартальній основі згідно з Фінансовими Правилами Європолу.

5. Якщо захищена лінія зв'язку буде демонтована, Міністерство повертає в Європол майно, яке є власністю Європолу, а Європол повертає до Міністерства майно, яке є власністю Міністерства.

6. Усі предмети імпорту та, у разі потреби, експорту Європолу повинні мати можливість безперешкодно доставлятись до або вивозитись з України, не підпадаючи під митні, імпортні або експортні збори, повинності, ПДВ або податки аналогічного характеру. Таке виключення застосовується лише до ввозу або вивозу товарів, пов'язаних з обладнанням, що постачається або повертається, та/або сервісом, що надається Європолом відповідно до цього Меморандуму про взаєморозуміння.

Стаття 5
Відповідальність та врегулювання спірних питань

1. Не обмежуючи зміст Статті 13 Угоди про співробітництво, Сторона несе відповідальність за шкоду, спричинену іншій Стороні в результаті встановлення, введення в дію або експлуатації захищеної лінії зв'язку. В таких випадках Сторони намагаються знайти справедливе розв'язання питання щодо компенсації збитків постраждалій Стороні.

2. Будь-які спірні питання між Сторонами стосовно тлумачення або застосування положень цього Меморандуму про взаєморозуміння повинні вирішуватись відповідно до статті 14 Угоди про співробітництво.

Стаття 6
Поправки

Зміни до цього Меморандуму про взаєморозуміння повинні бути взаємопогоджені є письмовій формі між Сторонами.

Стаття 7
Припинення дії

Дію цього Меморандуму про взаєморозуміння може бути припинено шляхом надсилання письмового повідомлення будь-якою Стороною за три місяці до цього.

Стаття 8
Набрання чинності та підписи

Цей Меморандум про взаєморозуміння набирає чинності в день, коли Україна повідомить Європолу в письмовій формі дипломатичними каналами про закінчення внутрішньодержавних процедур, необхідних для набрання чинності Меморандуму про взаєморозуміння.

Цей Меморандум про взаєморозуміння складено і підписано у двох примірниках українською та англійською мовами, кожен текст є рівноавтентичним. У разі виникнення невідповідностей щодо тлумачення статей, переважну силу матиме примірник англійською мовою.

1. Додаток 1:
Кодекс Зв'язку

1.1 Частина A: Вступ

Первинна мета даного Кодексу Зв'язку (CoCo) полягає в забезпеченні того, що Захищена мережа Європолу та зовнішні мережі (Партнерські Установи), які пов'язані між собою, достатньо захищені від загроз конфіденційності, цілісності та доступу до інформації. Відомо, що проблема в системах захисту в мережі однієї Партнерської Установи або Європолу потенційно може вплинути на взаємопов'язані мережі всіх інших Партнерських Установ.

Головний принцип цього Кодексу Зв'язку полягає в тому, що всі Партнерські Установи, підключені до Захищеної мережі Європолу, повинні дотримуватись мінімального набору заходів контролю безпеки. Такий принцип захисту спрямований на те, щоб зменшити до прийнятного рівня, визначеного відповідним підрозділом по забезпеченню безпеки, ризик в сфері захисту будь-якої з систем від впливу та залежності від безпеки цілої мережі. Кожна Партнерська Установа відповідає за безпеку власних систем, починаючи з демаркаційної точки.

Кодекс Зв'язку є обов'язковим для Європолу та Партнерської Установи. Поняття, принципи, контроль та зобов'язання, вказані в ньому, повинні виконуватись та поважатись.

1.2. Частина B: Базові стандарти контролю безпеки1.2.1. Система особливих вимог Європолу до захисту мережевих систем

Європол визначає перелік вимог з безпеки мережевої інфраструктури в документі, що називається "Система особливих вимог Європолу до захисту мережевих систем" (SSSR) документ N 2440-72". Даний документ чітко та повністю закріплює принципи захисту, яких слід дотримуватись та детальні вимоги з безпеки системи. Він базується на основних принципах безпеки, описаних в Посібнику з безпеки Європолу, та на основі системи оцінювання ризиків.

Система Захисту Європолу SSSR була прийнята Адміністративною Радою за рекомендацією Комітету з Безпеки Європолу. Цей документ підлягає регулярним переглядам та оновленню в контексті переакредитації системи.

Обов'язковою вимогою до зв'язку між зовнішніми мережами та Системою Захисту Європолу є те, що Україна та Європол зобов'язані запроваджувати політику, процедури та технічні заходи подібні до тих, що зазначаються в документі SSSR. Це не означає, що існуючі процедури та технології мають бути ідентичними, але ідеї, які згадуються в даному документі, повинні відповідати національні політиці та правилам. Це також підпадає під дію статті 2 "Правил конфіденційності інформації Європолу", основний принцип якої полягає в тому, що Партнерські Установи зобов'язуються гарантувати, що вся інформація, яка опрацьовується або проходить через Європол, отримує рівень захисту, еквівалентний тому, який йому надав Європол.

1.2.2. Базові заходи

Система Захисту Європолу SSSR використовується в якості посібника для визначення відповідних заходів контролю для будь-яких систем зв'язку. У принципі, Сторони, що встановили зв'язок між собою, можуть вживати заходи згідно з законодавством кожної Сторони в сфері безпеки задля реагування на загрози, вказані у Системі особливих вимог до захисту (SSSR). Однак, для того, щоб забезпечити мінімальний рівень захисту, нижче перераховані заходи контролю вважаються основою та передумовою для встановлення мережевого зв'язку.

1.2.2.1. Процедурний контроль

Україна повинна використовувати наступні мінімальні види процедурного контролю:

- Користувачі системи повинні бути відповідним чином перевірені на національному рівні.

- Повинні бути прийняті нормативні правила щодо політики аутентифікації, наприклад, базова інструкція щодо створення та управління паролями.

- Повинні бути прийняті нормативні правила щодо віддаленого доступу до системи та заходів відповідної аутентифікації.

- Повинні бути прийняті нормативні правила щодо ведення облікових записів та аудиту.

- Інформація щодо інцидентів, пов'язаних з питаннями безпеки, які можуть впливати на безпеку мережі Європолу або мережі, яка належить Партнерській Агенції (наприклад, зараження вірусом), повинна бути надана зацікавленим Сторонам у найкоротший термін. Перелік таких інцидентів, пов'язаних з питаннями безпеки, включений в Частину C до цього Додатку.

1.2.2.2. Технічний контроль

Україна повинна використовувати наступні сконфігуровані відповідним чином засоби технічного контролю:

- Граничні пристрої безпеки, такі як міжмережеві екрани або маршрутизатори.

- Антивірусні технології, які підтримують антивірусну політику та стратегії.

- Робочі станції, які безпосередньо підключені до публічних комп'ютерних мереж, таких як Інтернет, не повинні бути підключені або використовуватись для доступу до захищеної мережі Європолу.

- Системи, які опосередковано підключені до публічних комп'ютерних мереж, таких як Інтернет, повинні бути відповідно захищені з метою захисту мережі Європолу від таких публічних мереж.

- Шифрування трафіку при використанні публічних комунікаційних ліній технологіями шифрування повинно відповідати рівню класифікації даних, які захищаються.

- Для гарантування виявлення та усунення вразливості необхідно проводити оцінювання та тестування безпеки інформації.

- Поєднувані системи є суб'єктами системи акредитації (або її еквіваленту).

1.2.2.3. Фізичний контроль

У системах, які підключаються, повинні застосовуватись наступні заходи фізичного контролю:

- Система, яка підключається, повинна бути розташована в захищеному приміщенні.

- Високоточне обладнання, таке як консолі, серверне обладнання, міжмережеві екрани, мережеві комутатори та шифрувальні пристрої, повинне мати контроль фізичного доступу (наприклад, мають бути розміщені в зачиненому приміщенні).

- Доступ до робочих станцій, терміналів тощо, де потенційно існує можливість доступу до Системи Захисту Європолу, повинен бути фізично обмеженим. Там, де необхідно розмістити робочі станції в приміщеннях з публічним доступом з організаційних або оперативних причин, зазначене обладнання повинно бути постійно фізично захищеним від неавторизованого доступу, крадіжки або втрати. Наприклад, таке обладнання не можна залишати без нагляду в публічних місцях.

1.3. Частина C: Приклади інцидентів, що виникають в системі безпеки

Нижче наведено перелік прикладів інцидентів, які можуть генерувати повідомлення про порушення безпеки, і які, як мінімум, повинні розслідуватись та, де це відповідає переліку порушень безпеки, передаватись до Європолу з метою перевірки на виникнення загрози конфіденційності, цілісності та доступу до інформації Європолу.

- Основне джерело струму вимкнуто. З деяких причин джерело безперебійного живлення (UPS) не відповідає вимогам. Всі системи вимкнені.

- Виявлення серйозного вірусу або шкідливого програмного забезпечення.

- Втрата чи викрадення обладнання, яке містить інформацію Європолу або може містити інформацію, використання якої може призвести до несанкціонованого доступу до Системи Захисту Європолу.

- Була здійснена перевірка доступу (також можливе використання системи виявлення вторгнень (IDS). При пошуку по шаблону виявлено, що певний клієнт передає інформацію іншому клієнту (доступ клієнт-клієнт заборонений в системі).

- Журнал подій управління доступом до системи демонструє незвичну активність, наприклад, код доступу працівника часто використовується для входу в приміщення вночі, в той час як зазначений працівник може бути на робочому місці тільки в робочий час - з дев'ятої ранку до п'ятої вечора, і таке перебування не авторизоване.

- Відбулось декілька тривалих атак на головні IP-порти мережевих вузлів.

- Під час поточної перевірки з'ясувалось, що статус звичайного користувача був змінений на статус адміністратора. Працівник зробив це самостійно, підключившись через "Телнет".

- Система не відповідає в звичайний робочий час. При подальшій перевірці адміністратор закриває систему. Метою було встановлення пакету оновлень. Адміністратор забув поінформувати користувачів у встановлений час.

- З'ясовано, що головні IP-порти міжмережевого екрану відкриті, що не було авторизовано відповідною політикою безпеки.

- Будь-який інший інцидент, через який виникає потенційна або реальна загроза інформації Європолу.

1.4. Частина D: Заява про дотримання Кодексу Зв'язку

- Користувачі системи повинні бути відповідним чином перевірені на національному рівні.

- Повинні бути прийняті та впровадженні нормативні правила щодо політики аутентифікації, наприклад, базові інструкції для створення та керування паролями.

- Повинні бути прийняті та впровадженні нормативні правила щодо політики віддаленого доступу та відповідної аутентифікації при підключенні до системи.

- Повинні бути прийняті та впровадженні нормативні правила щодо заходів із ведення облікових записів та аудиту.

- Інформація щодо інцидентів з питань безпеки, які можуть впливати на безпеку мереж Європолу або іншої країни-члена (наприклад, зараження вірусом), повинна передаватись до зацікавленої Сторони якомога швидше.

- Повинні бути встановленими пристрої захисту границь (периметру), такі як міжмережеві екрани або пакетна фільтрація.

- Повинні бути запроваджені такі антивірусні технології, які підтримують антивірусну політику та стратегії.

- Робочі станції, які підключені до публічних комп'ютерних мереж, таких як Інтернет, не можна підключати до захищеної мережі Європолу або використовувати для доступу до Системи Захисту Європолу.

- Системи, які опосередковано підключені до публічних комп'ютерних мереж, таких як Інтернет, повинні бути належним чином захищені з метою захисту Системи Захисту Європолу від зазначених мереж.

- При використанні публічних ліній зв'язку для шифрування трафіку повинні використовуватись криптографічні технології рівня, відповідного до класифікації даних, які захищаються.

- Для гарантування виявлення та усунення вразливості необхідно проводити оцінювання та тестування безпеки інформації.

- Поєднувані системи є суб'єктами системи акредитації (або її еквіваленту).

- Поєднувані системи належним чином розташовані в захищеному місці.

- Високоточне обладнання таке як консолі, серверне обладнання, міжмережеві екрани, мережеві комутатори та шифрувальні пристрої повинні мати контроль фізичного доступу (наприклад, мають бути розміщенні в зачиненому приміщенні).

- Доступ до робочих станцій, терміналів тощо, де потенційно існує можливість доступу до мережі Європолу, повинен бути фізично обмеженим. Там, де необхідно розмістити робочі станції в приміщеннях з публічним доступом з організаційних або оперативних причин, зазначене обладнання повинно бути постійно фізично захищеним від неавторизованого доступу, крадіжки або втрати.