Основные принципы обеспечения кибербезопасности Украины
Для реализации государственной политики относительно защиты в киберпространстве государственных информационных ресурсов и информации принят Закон от 05.10.17 г. № 2163-VIII «Об основных принципах обеспечения кибербезопасности Украины» (далее – Закон № 2163, вступил силу с 09.05.18 г.). Этот Закон стал основой развития государственной системы защиты от сетевых угроз. Обзор основных его положений – цель этой консультации.
Юридические аспекты
Законом № 2163 определены правовые и организационные принципы обеспечения защиты национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия и обязанности государственных органов в этой сфере, основные принципы координации их деятельности относительно обеспечения кибербезопасности.
Следует отметить, что Закон № 2163 не распространяется, в частности:
- на отношения и услуги, связанные с содержанием информации, которая обрабатывается (передается, хранится) в коммуникационных и/или в технологических системах;
- деятельность, связанную с защитой информации, которая представляет государственную тайну, коммуникационные и технологические системы, предназначенные для ее обработки;
- социальные сети, частные электронные информационные ресурсы в сети Интернет (включая блог-платформы, видеохостинги, другие веб-ресурсы), если такие информационные ресурсы не содержат информации, необходимость защиты которой установлена законом, отношения и услуги, связанные с функционированием таких сетей и ресурсов;
- коммуникационные системы, которые не взаимодействуют с публичными сетями электронных коммуникаций (электронными сетями общего пользования), не подключенные к сети Интернет и/или другим глобальным сетям передачи данных (кроме технологических систем).
Закон № 2163 вводит важные базовые понятия в отрасли киберзащиты и кибербезопасности и определяет права и обязанности государственных органов относительно кибербезопасности, хотя и дублирует положения Стратегии кибербезопасности Украины, утвержденной Указом Президента от 15.03.16 г. № 96/2016.
Обеспечивать безопасность в киберпространстве согласно ст. 5 Закона № 2163 будет сам гарант Конституции через:
- возглавляемый им Совет национальной безопасности и обороны (СНБО);
- Национальный координационный центр кибербезопасности как рабочий орган СНБО;
- Кабмин и министерства.
В частности, Кабмин:
- обеспечивает формирование и реализацию государственной политики в сфере кибербезопасности, защиту прав и свобод человека и гражданина, национальных интересов страны в киберпространстве, борьбу с киберпреступностью;
- организовывает и обеспечивает необходимыми силами, средствами и ресурсами функционирование национальной системы кибербезопасности;
- формирует требования и обеспечивает функционирование системы аудита информационной безопасности на объектах критической инфраструктуры (кроме объектов критической инфраструктуры в банковской системе Украины).
Субъекты национальной системы кибербезопасности
Согласно Закону № 2163 основными субъектами национальной системы кибербезопасности являются Госспецсвязи и защиты информации, Нацполиция, СБУ, Минобороны и Генштаб ВСУ, разведывательные органы, НБУ.
Субъектами, которые непосредственно осуществляют в пределах своей компетенции мероприятия по обеспечению кибербезопасности, являются:
- министерства и другие центральные органы исполнительной власти;
- местные государственные администрации;
- органы местного самоуправления;
- правоохранительные, разведывательные и контрразведывательные органы, субъекты оперативно-разыскной деятельности;
- ВСУ, другие воинские формирования, созданные согласно закону;
- НБУ;
- предприятия, учреждения и организации, отнесенные к объектам критической инфраструктуры;
- субъекты хозяйствования, граждане Украины и объединения граждан, другие лица, осуществляющие деятельность и/или предоставляющие услуги, связанные с национальными информационными ресурсами, информационными электронными услугами, осуществлением электронных сделок, электронными коммуникациями, защитой информации и киберзащитой.
Законом № 2163 определено, что субъекты обеспечения кибербезопасности в пределах своей компетенции осуществляют:
- меры по предотвращению использования киберпространства в военных, разведывательно-подрывных, террористических и других противоправных и преступных целях;
- выявление и реагирование на киберинциденты и кибератаки, устранение их последствий;
- информационный обмен относительно реализованных и потенциальных киберугроз;
- разработку и реализацию предупредительных, организационных, образовательных и других мероприятий в сфере кибербезопасности, киберобороны и киберзащиты;
- обеспечение проведения аудита информационной безопасности, в том числе на подчиненных объектах и объектах, которые относятся к сферы их управления;
- другие мероприятия по обеспечению развития и безопасности киберпространства.
Полномочия относительно киберзащиты
Закон № 2163 предлагает такое распределение функций и полномочий органов государственной власти в сфере киберзащиты.
Госспецсвязи и защиты информации будет осуществлять следующие функции:
- киберзащита объектов критической информационной инфраструктуры;
- координация деятельности других субъектов кибербезопасности;
- обеспечение создания и функционирования национальной телекоммуникационной сети;
- предотвращение, выявление и реагирование на киберинциденты и кибератаки и устранение их последствий;
- информирование о киберугрозе и методах защиты от них;
- обеспечение аудита информационной безопасности на объектах критической инфраструктуры, установление требований к аудиторам информационной безопасности, определение порядка их аттестации и переаттестации.
На Нацполицию возложена ответственность за предупреждение, выявление, прекращение и раскрытие киберпреступлений.
Минобороны и Генштаб ВСУ обязаны обеспечивать кибероборону военных объектов, киберзащиту объектов критической инфраструктуры во время войны и чрезвычайного положения, а также отражать военную агрессию в киберпространстве.
СБУ в пределах своих полномочий обязана предупреждать, выявлять, прекращать и раскрывать преступления против мира и безопасности человечества в киберпространстве, бороться с кибертерроризмом и кибершпионажем. Также СБУ предоставлены полномочия проводить тайные проверки объектов критической инфраструктуры.
Нацбанк определяется законом как регулятор по кибербезопасности в банковской сфере. Для этого он имеет право на установление в этой сфере собственных стандартов и организацию проверки их соблюдения. Но хотелось бы подчеркнуть, что сейчас это уже происходит – банковский сектор давно ввел международный стандарт защиты информации ISO-27001.
Более того, Нацбанк должен будет определить порядок, требования и мероприятия по обеспечению киберзащиты и информационной безопасности в банковской системе и для субъектов перевода средств. Для этого создается центр киберзашиты. Кроме того, создан реестр объектов критической информационной инфраструктуры в банковской системе. Вместе с тем будет проводиться оценка состояния киберзащиты и аудит информационной безопасности банков.
Объекты кибербезопасности
Киберзащите подлежат коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы и которые используются в интересах органов государственной власти и местного самоуправления, правоохранительных органов и воинских формирований, в сферах электронного управления, электронных государственных услуг, электронной коммерции, электронного документооборота, а также объекты критической информационной инфраструктуры.
К последним могут быть отнесены предприятия, учреждения и организации независимо от формы собственности: в отрасли энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах; в сферах водо-, газои электроснабжения, водоотведения, производства продуктов питания, сельского хозяйства, здравоохранения. Также к объектам критической информструктуры относятся коммунальные, аварийные и спасательные службы, стратегические предприятия, потенциально опасные производства.
Государственно-частное взаимодействие в сфере кибербезопасности
В сфере кибербезопасности предусмотрено государственно-частное взаимодействие. Так, система своевременного выявления, предупреждения и нейтрализации киберугроз может быть создана с привлечением волонтерских организаций. Предусмотрено повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве. Запланирован обмен информацией о киберугрозе и координации команд реагирования на компьютерные чрезвычайные события. Для граждан, представителей промышленности и бизнеса создадут консультационные пункты. Кроме того, будет создана система подготовки кадров и повышения компетентности специалистов разных сфер деятельности по вопросам кибербезопасности.
Комментарии к материалу