Основные принципы обеспечения кибербезопасности Украины

Для реализации государственной политики относительно защиты в киберпространстве государственных информационных ресурсов и информации принят Закон от 05.10.17 г. № 2163-VIII «Об основных принципах обеспечения кибербезопасности Украины» (далее – Закон № 2163, вступил силу с 09.05.18 г.). Этот Закон стал основой развития государственной системы защиты от сетевых угроз. Обзор основных его положений – цель этой консультации.

Юридические аспекты

Законом № 2163 определены правовые и организационные принципы обеспечения защиты национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия и обязанности государственных органов в этой сфере, основные принципы координации их деятельности относительно обеспечения кибербезопасности.

Следует отметить, что Закон № 2163 не распространяется, в частности:

• на отношения и услуги, связанные с содержанием информации, которая обрабатывается (передается, хранится) в коммуникационных и/или в технологических системах;
• деятельность, связанную с защитой информации, которая представляет государственную тайну, коммуникационные и технологические системы, предназначенные для ее обработки;
• социальные сети, частные электронные информационные ресурсы в сети Интернет (включая блог-платформы, видеохостинги, другие веб-ресурсы), если такие информационные ресурсы не содержат информации, необходимость защиты которой установлена законом, отношения и услуги, связанные с функционированием таких сетей и ресурсов;
• коммуникационные системы, которые не взаимодействуют с публичными сетями электронных коммуникаций (электронными сетями общего пользования), не подключенные к сети Интернет и/или другим глобальным сетям передачи данных (кроме технологических систем).

Закон № 2163 вводит важные базовые понятия в отрасли киберзащиты и кибербезопасности и определяет права и обязанности государственных органов относительно кибербезопасности, хотя и дублирует положения Стратегии кибербезопасности Украины, утвержденной Указом Президента от 15.03.16 г. № 96/2016.

Обеспечивать безопасность в киберпространстве согласно ст. 5 Закона № 2163 будет сам гарант Конституции через:

• возглавляемый им Совет национальной безопасности и обороны (СНБО);
• Национальный координационный центр кибербезопасности как рабочий орган СНБО;
• Кабмин и министерства.

В частности, Кабмин:

• обеспечивает формирование и реализацию государственной политики в сфере кибербезопасности, защиту прав и свобод человека и гражданина, национальных интересов страны в киберпространстве, борьбу с киберпреступностью;
• организовывает и обеспечивает необходимыми силами, средствами и ресурсами функционирование национальной системы кибербезопасности;
• формирует требования и обеспечивает функционирование системы аудита информационной безопасности на объектах критической инфраструктуры (кроме объектов критической инфраструктуры в банковской системе Украины).

Субъекты национальной системы кибербезопасности

Согласно Закону № 2163 основными субъектами национальной системы кибербезопасности являются Госспецсвязи и защиты информации, Нацполиция, СБУ, Минобороны и Генштаб ВСУ, разведывательные органы, НБУ.

Субъектами, которые непосредственно осуществляют в пределах своей компетенции мероприятия по обеспечению кибербезопасности, являются:

• министерства и другие центральные органы исполнительной власти;
• местные государственные администрации;
• органы местного самоуправления;
• правоохранительные, разведывательные и контр­разведывательные органы, субъекты опера­тив­но-разыскной деятельности;
• ВСУ, другие воинские формирования, созданные согласно закону;
• НБУ;
• предприятия, учреждения и организации, отнесенные к объектам критической инфраструктуры;
• субъекты хозяйствования, граждане Украины и объединения граждан, другие лица, осуществляющие деятельность и/или предоставляющие услуги, связанные с национальными информационными ресурсами, информационными электронными услугами, осуществлением электронных сделок, электронными коммуникациями, защитой информации и киберзащитой.

Законом № 2163 определено, что субъекты обеспечения кибербезопасности в пределах своей компетенции осуществляют:

• меры по предотвращению использования киберпространства в военных, разведывательно-подрывных, террористических и других противоправных и преступных целях;
• выявление и реагирование на киберинциденты и кибератаки, устранение их последствий;
• информационный обмен относительно реализованных и потенциальных киберугроз;
• разработку и реализацию предупредительных, организационных, образовательных и других мероприятий в сфере кибербезопасности, киберобороны и киберзащиты;
• обеспечение проведения аудита информационной безопасности, в том числе на подчиненных объектах и объектах, которые относятся к сферы их управления;
• другие мероприятия по обеспечению развития и безопасности киберпространства.

Полномочия относительно киберзащиты

Закон № 2163 предлагает такое распределение функций и полномочий органов государственной власти в сфере киберзащиты.

Госспецсвязи и защиты информации будет осуществлять следующие функции:

• киберзащита объектов критической информационной инфраструктуры;
• координация деятельности других субъектов кибербезопасности;
• обеспечение создания и функционирования национальной телекоммуникационной сети;
• предотвращение, выявление и реагирование на киберинциденты и кибератаки и устранение их последствий;
• информирование о киберугрозе и методах защиты от них;
• обеспечение аудита информационной безопасности на объектах критической инфраструктуры, установление требований к аудиторам информационной безопасности, определение порядка их аттестации и переаттестации.

На Нацполицию возложена ответственность за предупреждение, выявление, прекращение и раскрытие киберпреступлений.

Минобороны и Генштаб ВСУ обязаны обеспечивать кибероборону военных объектов, киберзащиту объектов критической инфраструктуры во время войны и чрезвычайного положения, а также отражать военную агрессию в киберпространстве.

СБУ в пределах своих полномочий обязана предупреждать, выявлять, прекращать и раскрывать преступления против мира и безопасности человечества в киберпространстве, бороться с кибер­терроризмом и кибершпионажем. Также СБУ предоставлены полномочия проводить тайные проверки объектов критической инфраструктуры.

Нацбанк определяется законом как регулятор по кибербезопасности в банковской сфере. Для этого он имеет право на установление в этой сфере собственных стандартов и организацию проверки их соблюдения. Но хотелось бы подчеркнуть, что сейчас это уже происходит – банковский сектор давно ввел международный стандарт защиты информации ISO-27001.

Более того, Нацбанк должен будет определить порядок, требования и мероприятия по обеспечению киберзащиты и информационной безопасности в банковской системе и для субъектов перевода средств. Для этого создается центр киберзашиты. Кроме того, создан реестр объектов критической информационной инфраструктуры в банковской системе. Вместе с тем будет проводиться оценка состояния киберзащиты и аудит информационной безопасности банков.

Объекты кибербезопасности

Киберзащите подлежат коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы и которые используются в интересах органов государственной власти и местного самоуправления, правоохранительных органов и воинских формирований, в сферах электронного управления, электронных государственных услуг, электронной коммерции, электронного документооборота, а также объекты критической информационной инфраструктуры.

К последним могут быть отнесены предприятия, учреждения и организации независимо от формы собственности: в отрасли энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах; в сферах водо-, газои электроснабжения, водоотведения, производства продуктов питания, сельского хозяйства, здравоохранения. Также к объектам критической информструктуры относятся коммунальные, аварийные и спасательные службы, стратегические предприятия, потенциально опасные производства.

Государственно-частное взаимодействие в сфере кибербезопасности

В сфере кибербезопасности предусмотрено государственно-частное взаимодействие. Так, система своевременного выявления, предупреждения и нейтрализации киберугроз может быть создана с привлечением волонтерских организаций. Предусмотрено повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве. Запланирован обмен информацией о киберугрозе и координации команд реагирования на компьютерные чрезвычайные события. Для граждан, представителей промышленности и бизнеса создадут консультационные пункты. Кроме того, будет создана система подготовки кадров и повышения компетентности специалистов разных сфер деятельности по вопросам кибербезопасности.