Верховная Рада рассмотрит законопроект о защите государственных информационных ресурсов и объектов критической информационной инфраструктуры

В Верховной Раде 27 мая зарегистрировали законопроект по защите информации и киберзащите государственных информационных ресурсов, объектов критической информационной инфраструктуры 11290. Инициаторами законопроекта выступает группа народных депутатов, среди которых Александр Федиенко, Вадим Ивченко, Евгения Кравчук, Владимир Ватрас, Марьяна Безуглая, Андрей Клочко и другие.

В частности, проектом предлагается ввести понятие объект информационной деятельности – инженерно-техническое сооружение (здание, помещение и т.п.), обособленная территория (зона), транспортное средство, палатка, в которых проводится деятельность, связанная с обработкой государственных информационных ресурсов и информации с ограниченным доступом в органах государственной власти, государственных органах, государственных предприятиях, учреждениях, организациях, органах местного самоуправления, и собственник объекта информационной деятельности – юридическое лицо, которому принадлежит право собственности на объект информационной деятельности.

Расширяется круг информации, относящейся к государственной тайне.

Определяется, что государственные информационные ресурсы или информация с ограниченным доступом, требование защиты которой установлено законом в системах, объектах критической информационной инфраструктуры, собственниками/распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, должны обрабатываться в системе с применением комплексной системы защиты информации (КСЗИ), либо путем авторизации системы безопасности, либо путем получения сертификата соответствия стандарту информационной безопасности, выданного органом по оценке соответствия.

Как указывают авторы, существует устойчивая тенденция увеличения количества угроз национальной безопасности в киберпространстве.

Передумовами, що сприяють зазначеним загрозам є недосконалість законодавчого врегулювання, зокрема:

• потрібне чітке врегулювання функцій та завдань всіх субʼєктів, що мають бути залучені, як публічного так і приватного секторів;
• відсутні правові основи для управління ризиком ланцюгу постачання щодо запровадження заходів безпеки при постачанні товарів, робіт, послуг, що забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем (ІКС), в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури;
• відсутні правові основи функціонування системи реагування на інциденти кібербезпеки, кібератаки у разі виникнення кризової ситуації;
• прогалини щодо проведення оцінювання стану кіберзахисту тощо.

Законопроект передбачає зміни до низки законів, зокрема, про основні засади забезпечення кібербезпеки, про захист інформації в інформаційно-комунікаційних системах, про основні засади державного нагляду (контролю) у сфері господарської діяльності тощо. Передбачено:

• створення та забезпечення функціонування національних систем реагування на інциденти кібербезпеки, кібератаки, кіберзагрози та обміну інформацією про інциденти кібербезпеки щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких оброблються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об'єктів критичної інформаційної інфраструктури, а також визначення завдань, функцій та повноважень суб’єктів національної системи реагування: Національного координаційного центру з кібербезпеки, CERT-UA, галузевих та регіональних команд реагування на інциденти кібербезпеки, кібератаки, кіберзагрози (галузевих та регіональних CSIRT), уповноважених представників Національної поліції України і Служби безпеки України, Об'єднаної групи реагування на інциденти кібербезпеки, кібератаки, кіберзагрози, залучення приватних команд реагування до національних систем реагування та обміну з виконанням функцій та завдань секторальних та/або регіональних команд реагування;
• визначення завдань щодо обміну інформацією;
• визначено правові засади для управління ризиками ланцюгу постачання шляхом запровадження постачальниками вимог безпеки відповідно до рівня ризику у разі, якщо їх товари, роботи, послуги, які вони постачають, забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем (ІКС), в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури;
• з цією метою має бути встановлений порядок підтвердження впровадження заходів безпеки, а власниками/розпорядниками ІКС, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури,  мають  визначити  рівень  ризику, пов’язаного з критичністю таких товарів, робіт і послуг для забезпечення функціонування своїх ІКС та заходів безпеки інформації, що відповідають такому ризику;
• визначено правові підстави для запровадження альтернативного способу (до існуючих КСЗІ та СУІБ) створення систем безпеки для ІКС шляхом авторизації, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, а також об'єктів критичної інформаційної інфраструктури;
• вдосконалено законодавчі основи для побудови комплексних систем захисту інформації шляхом усунення бар’єрів для імплементації більш гнучкого порядку підтвердження відповідності;
• створення правових засад для виокремлення стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам;
• утворення в органах державної влади, що є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підрозділів із кіберзахисту та призначення керівників із кіберзахисту;
• для виконання функцій та завдань з кіберзахисту щодо критичної інфраструктури оператори критичної інфраструктури призначають відповідальних осіб;
• створення правових засад для запровадження системи оцінювання стану кіберзахисту;
• вдосконалюються законодавчі засади шляхом усунення прогалин в законодавстві щодо існуючих повноважень Держспецзв’язку в частині здійснення ними державного контролю в сфері технічного захисту та кіберзахисту, що створювало невизначеність щодо сфери (предмету) контролю, об’єкта контролю, мети контролю, а також обсягу прав;
• залучення Міністерства цифрової трансформації, Міністерства закордонних справ до складу основних суб'єктів національної системи кібербезпеки з визначенням їх основних завдань у вказаній сфері тощо.

Автор: Наталя Мамченко 

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.