Тип: Меморандум
Дата: 03 липня 2017 р.
Статус: Чинний
МЕМОРАНДУМ
про взаєморозуміння між Україною та Європейським поліцейським офісом стосовно конфіденційності та забезпечення збереження інформації
{Меморандум ратифіковано із заявою Законом № 1823-IX від 21.10.2021}
Дата вчинення:
03.07.2017
Дата набрання чинності для України:
19.10.2022
{Сканована копія}
Україна
та
Європейський поліцейський офіс (Європол)
(далі - Сторони),
ураховуючи, що Сторони встановили відносини співробітництва з метою підтримки України та держав-членів Європейського Союзу в запобіганні та боротьбі з організованою злочинністю, тероризмом та іншими формами міжнародної злочинності шляхом укладення Угоди про оперативне та стратегічне співробітництво (далі - Угода),
усвідомлюючи необхідність захисту та охорони як інформації з обмеженим доступом, так і несекретної інформації, обмін якою здійснюється між Сторонами на підставі Угоди,
беручи до уваги статтю 19 Угоди, згідно з якою Сторони повинні дотримуватися визначених правил конфіденційності,
беручи до уваги статтю 20 Угоди, згідно з якою Сторони повинні реалізовувати принципи, викладені у статті 19 Угоди, шляхом укладення Меморандуму про взаєморозуміння, який повинен включати, зокрема, положення щодо організації системи безпеки Сторін, навчань і тренінгів, стандартів перевірки для секретної роботи, таблицю еквівалентності, процедуру обробки інформації з обмеженим доступом та оцінки забезпечення збереження інформації.
зважаючи, що обмін інформацією з обмеженим доступом є можливим лише за умови набрання чинності цим Меморандумом про взаєморозуміння стосовно конфіденційності,
домовилися про таке:
Стаття 1
Мета
Метою цього Меморандуму про взаєморозуміння є врегулювання процедури захисту інформації, обмін якою здійснюється між Сторонами, шляхом реалізації принципів, викладених у статті 19 Угоди.
Стаття 2
Визначення
Для цілей цього Меморандуму про взаєморозуміння:
a) «інформація» означає знання, яке може бути передано в будь-якій формі та яке може включати персональні й/або неперсональні дані;
b) «інформація з обмеженим доступом» означає будь-яку інформацію, визначену як така, що вимагає захисту від несанкціонованого розголошення, яку було визначено такою позначенням секретності;
c) «рівень секретності» означає захисне позначення, яке надається документу і яким зазначено заходи безпеки, які необхідно застосовувати до інформації;
d) «інформаційна система» означає цілісність інфраструктури, організації, кадрових та технічних компонентів для збору, обробки, зберігання, передачі, відтворення, поширення, розміщення і видалення інформації відповідно до цього Меморандуму про взаєморозуміння;
e) «оцінка ризику» означає структурований процес для вивчення загроз інформаційній безпеці, вразливості інформації та впливу на діяльність внаслідок порушення правил конфіденційності, цілісності та/або доступності інформації або інформаційної системи з метою визначення доцільності вжиття додаткових заходів безпеки;
f) «акредитація» означає процес, який здійснюється для гарантування реалізації всіх необхідних заходів безпеки і достатнього рівня захисту інформації з обмеженим доступом та інформаційної системи відповідно до цього Меморандуму про взаєморозуміння. Процес акредитації визначає максимальний рівень секретності інформації, яка може оброблятися в інформаційній системі, а також відповідні умови;
g) «випадок порушення системи безпеки» означає один або низку небажаних або несподіваних випадків у системі інформаційної безпеки, що мають значну ймовірність нанесення шкоди операційній діяльності та становлять загрозу інформаційній безпеці;
h) «аудит» означає структурований процес вивчення, розгляду, оцінки та звітування щодо використання інформації або інформаційної системи, який здійснюється однією або декількома компетентними особами, які є незалежними від ситуації, системи, процесу, посади тощо.
ГЛАВА 1
КОНФІДЕНЦІЙНІСТЬ
Стаття 3
Принципи
Кожна Сторона зобов'язується:
1. захищати та охороняти несекретну інформацію відповідно до Угоди та цього Меморандуму про взаєморозуміння, за винятком інформації, яка є явно позначена або чітко визначена як публічна, за допомогою різноманітних заходів, включаючи зобов'язання щодо обмеження доступу і конфіденційності інформації, обмеження доступу для уповноваженого персоналу та загальні технічні і процедурні заходи;
2. захищати і охороняти інформацію з обмеженим доступом відповідно до Угоди та цього Меморандуму про взаєморозуміння.
Стаття 4
Організація щодо безпеки
Кожна Сторона забезпечує у себе наявність організації, системи і заходів щодо безпеки. Кожна Сторона гарантує:
1. організацію щодо безпеки, якою визначаються посадові функції з відповідальністю за забезпечення безпеки на різних ієрархічних рівнях;
2. визначення власників інформаційних активів;
3. визначення суб'єкта, призначеного відповідальним за управління інформаційними ризиками;
4. визначення суб'єкта, призначеного відповідальним за акредитацію інформаційних систем, які здійснюють обробку інформації з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння;
5. визначення суб'єкта, призначеного відповідальним за безпеку інформації в електронному вигляді;
6. визначення суб'єкта, призначеного відповідальним за обробку криптографічного матеріалу, якщо такий використовується.
Стаття 5
Навчання, тренінги та інформування
Кожна Сторона гарантує, що всі співробітники, які здійснюють обробку інформації відповідно до цього Меморандуму про взаєморозуміння, ознайомлені із системою безпеки в цілому та поінформовані щодо процедури повідомлення з питань безпеки. Сторони також гарантують, що співробітники, які управляють і підтримують конфігурацію інформаційних систем безпеки, і співробітники, які мають доступ до інформаційних активів, належним чином навчені і поінформовані щодо процедури повідомлення про випадки порушення системи безпеки.
Стаття 6
Перевірка для секретної роботи й дозвіл на доступ
Кожна Сторона забезпечує:
1. щоб усі особи, яким під час виконання їхніх службових обов'язків необхідний доступ до інформації з обмеженим досвідом, або чиї обов'язки або функції можуть дозволити доступ до інформації з обмеженим доступом на рівні «Для службового користування»/«RESTREINT UE/EU RESTRICTED», пройшли необхідну перевірку для секретної роботи з метою визначення того, чи може особа, ураховуючи її лояльність, довіру до неї та надійність, мати доступ до такої інформації;
2. регулярний перегляд тривалого права особи на доступ до інформації з обмеженим доступом.
Стаття 7
Вибір рівня секретності
1. Кожна Сторона відповідає за вибір відповідного рівня секретності інформації, що надається іншій Стороні.
2. Якщо будь-яка зі Сторін на основі інформації, якою вона вже володіє, - доходить висновку, що вибір рівня секретності потребує внесення змін, вона інформує іншу Сторону й намагається погодити відповідний рівень секретності. Жодна зі Сторін не може скасувати або змінити рівень секретності інформації, який надається іншою Стороною, без її письмової згоди.
3. Кожна Сторона може в будь-який час зробити запит про внесення змін до рівня секретності стосовно наданої нею інформації, зокрема про можливе скасування такого рівня. Відповідно до таких запитів інша Сторона вносить зміни до рівня секретності. Кожна Сторона, як тільки дозволять обставини, звертається з проханням стосовно зниження або повного скасування рівня секретності.
4. Кожна Сторона може визначити строк, протягом якого застосовується вибраний рівень секретності стосовно наданої нею інформації, а також будь-які можливі зміни рівня секретності після закінчення цього строку.
5. У випадках, коли інформацію, до рівня секретності якої внесено зміни згідно із цією статтею, уже надано третім сторонам, усі отримувачі інформуються про зміни рівня секретності.
Стаття 8
Таблиця еквівалентності
Сторони визначають, що наведені нижче рівні секретності згідно з національним законодавством України й рівні секретності, що застосовуються в Європолі, є еквівалентними й забезпечуватимуть еквівалентний захист інформації, позначеної таким рівнем секретності:
Україна
Європол
Для службового користування
RESTREINT UE / EU RESTRICTED
Стаття 9
Позначення
Кожна Сторона гарантує, що інформація з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння завжди чітко позначається, як це зазначено у статті 8, для визначення рівня секретності.
Стаття 10
Зберігання
Уся інформація з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння підлягає зберіганню в безпечний спосіб, згідно з відповідним законодавством Сторони.
Стаття 11
Репродукція та переклад
1. Кожна Сторона гарантує, що кількість репродукцій інформації з обмеженим доступом обмежується кількістю, що є чітко необхідною для задоволення основних потреб. Заходи безпеки, які застосовуються до оригінальної інформації, також застосовуються до її репродукцій.
2. Усі переклади інформації з обмеженим доступом для цілей цього Меморандуму про взаєморозуміння вважаються репродукціями оригінальної інформації.
Стаття 12
Передача
1. Інформація з обмеженим доступом повинна передаватися в безпечний спосіб відповідно до законодавства Сторони, яка передає таку інформацію.
2. Отримання інформації з обмеженим доступом повинно підтверджуватися.
Стаття 13
Знищення
1. Кожна Сторона гарантує, що інформація з обмеженим доступом, яка більше не є погрібною, знищується у спосіб, у який буде дотримано відповідні стандарти з метою запобігання відновленню такої інформації в цілому або частково.
2. Відходи, що утворюються після підготовки інформації з обмеженим доступом, знищуються з такою самою ретельністю та у такий самий спосіб, що використовується для знищення інформації з обмеженим доступом.
Стаття 14
Оцінки
Кожна Сторона дозволяє іншій Стороні відвідати свою територію або приміщення після отримання письмового дозволу для оцінки її процедур і об'єктів для захисту інформації з обмеженим доступом, отриманої від іншої Сторони. Домовленість про такий візит повинна бути погоджена у двосторонньому порядку. Кожна Сторона надає допомогу іншій Стороні в установленні того, чи належним чином захищено інформацію з обмеженим доступом, яку надано іншою Стороною.
Стаття 15
Несанкціоноване розголошення інформації з обмеженим доступом
1. Уповноважений орган з безпеки інформації кожної Сторони негайно повідомляє уповноваженому органу з безпеки інформації іншої Сторони про будь-яке можливе несанкціоноване розголошення інформації з обмеженим доступом.
2. У випадках, коли відбулося несанкціоноване розголошення, обидві Сторони співробітничають належним чином у проведенні розслідування та інформують одна одну про результати.
ГЛАВА 2
ЗАБЕЗПЕЧЕННЯ ЗБЕРЕЖЕННЯ ІНФОРМАЦІЇ
Стаття 16
Політика інформаційної безпеки
Кожна Сторона повинна мати, як складову своєї комплексної політики безпеки, політику інформаційної безпеки, якою визначається те, як Сторони та їхні партнери з передачі інформації дотримуються мінімальних вимог, установлених у цьому Меморандумі про взаєморозуміння.
Стаття 17
Управління інформаційними ризиками
Кожна Сторона проводить оцінку інформаційного ризику на регулярній основі та у випадках, коли існують істотні зміни у ризиковій складовій (загроза, вразливість, вплив тощо) в існуючих в експлуатації інформаційних системах. Рішення з оцінки та управління ризиками фіксуються у відповідній документації з управління ризиками.
Стаття 18
Акредитація
Кожна Сторона гарантує, що інформаційні системи, які обробляють інформацію з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння, є акредитованими. Стан акредитації підлягає перегляду на регулярній основі з метою оцінки того, чи відбулися істотні зміни, які можуть змінити початкове рішення про акредитацію.
Стаття 19
Аудит
Кожна Сторона має проводити аудит з безпеки стосовно інформаційних систем, що обробляють інформацію з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння.
Стаття 20
Управління ідентифікацією і доступом
Кожна Сторона повинна здійснювати належний контроль ідентифікації та автентифікації інформаційних систем, які обробляють інформацію з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння.
Стаття 21
Криптографія
Кожна Сторона повинна використовувати криптографічні засоби управління для безпечного обміну інформацією з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння. Криптографічні пристрої повинні бути затверджені відповідно до законодавства Сторони, що передає інформацію.
Стаття 22
Інформування про випадки порушення системи захисту
Кожна Сторона повинна мати чітку політику та процедури щодо інформування, управління та вирішення випадків порушення системи захисту.
Стаття 23
Знімні носії інформації
Кожна Сторона повинна мати політику і процедури щодо належного використання і захисту знімних носіїв інформації, що використовуються для зберігання інформації з обмеженим доступом відповідно до цього Меморандуму про взаєморозуміння.
Стаття 24
Безпечна утилізація
Кожна Сторона гарантує, що всі носії інформації, використовувані для зберігання або обробки інформації з обмеженим доступом, будуть безпечно утилізовані або стерті відповідно до відповідного законодавства Сторони.
ГЛАВА 3
ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Стаття 25
Набрання чинності
Цей Меморандум набирає чинності з дати надіслання Європолом дипломатичними каналами письмового повідомлення Україні про отримання та прийняття повідомлення України про завершення нею внутрішньодержавних ратифікаційних процедур, необхідних для набрання ним чинності.
Обмін інформацією з обмеженим доступом здійснюється лише після набрання чинності цим Меморандумом про взаєморозуміння.
Стаття 26
Внесення змін та припинення дії
1. До цього Меморандуму про взаєморозуміння в будь-який час може бути внесено зміни за взаємною згодою Сторін у письмовій формі.
2. Дію цього Меморандуму про взаєморозуміння може бути припинено будь-якою, зі Сторін шляхом надіслання за три місяці до цього письмового повідомлення. У такому випадку юридичні наслідки застосування цього Меморандуму про взаєморозуміння зберігаються.
3. Дія цього Меморандуму про взаєморозуміння автоматично припиняється у день припинення дії Угоди.
Учинено в м. Київ, 03 липня 2017 року у двох примірниках українською та англійською мовами. У разі виникнення розбіжностей щодо тлумачення положень цього Меморандуму про взаєморозуміння перевага надається тексту англійською мовою.
За Україну
За Європол
Арсен Аваков
Міністр внутрішніх справ
Роб Уейнрайт
Директор
{Текст Меморандуму англійською мовою}