От отчетов — к проверкам на местах: как государство будет контролировать киберзащиту критических объектов

Кабмин утвердил новый порядок осуществления государственного контроля за соблюдением законодательства в сфере киберзащиты.

Постановление №1668 определяет, как государство будет контролировать уровень киберзащиты органов власти, критической инфраструктуры и других важных объектов, а также какие последствия будут применяться в случае нарушений.

Кто и что будет контролировать

Ключевым органом контроля определена Администрация Госспецсвязи и её территориальные органы. Именно они будут осуществлять мониторинг и проверки соблюдения требований в сфере киберзащиты.

Под действие порядка подпадают:

• органы государственной власти и местного самоуправления;
• государственные и коммунальные предприятия и учреждения;
• военные формирования;
• операторы критической инфраструктуры;
• владельцы и распорядители информационных и технологических систем, в которых обрабатываются государственные информационные ресурсы либо информация, защита которой установлена законом.

В то же время документ не распространяется на Национальный банк, банки и финансовые учреждения, находящиеся под надзором НБУ, а также на операторов платёжных систем.

Два формата контроля: мониторинг и проверки

Новый порядок предусматривает два основных инструмента государственного контроля.

1. Мониторинг состояния киберзащиты.

Он основывается на анализе ежегодных отчётов об оценке состояния киберзащиты, которые субъекты контроля подают через специальную информационную систему Госспецсвязи. Если система временно не работает, отчёты могут направляться по электронной почте, через систему электронного взаимодействия либо заказным письмом.

По итогам мониторинга Госспецсвязь будет предоставлять рекомендации по устранению выявленных недостатков. Эти результаты также будут учитываться при проведении обзоров состояния киберзащиты критической информационной инфраструктуры.

2. Плановые и внеплановые проверки.

Проверки будут проводиться специальными комиссиями численностью не менее трёх должностных лиц. Плановые проверки возможны не чаще одного раза в два года, а информация о них заранее будет обнародоваться на сайте Госспецсвязи. О начале плановой проверки субъект будет уведомляться минимум за 10 рабочих дней.

Внеплановые проверки могут инициироваться в случае:

• обращения самого владельца объекта;
• сигналов от правоохранительных или контрразведывательных органов;
• непредоставления обязательных отчётов или невыполнения предписаний;
• выявления признаков нарушений, которые могут создавать киберугрозы.

Полномочия проверяющих и ответственность

Во время проверок представители Госспецсвязи получают широкие полномочия: от анализа документации и доступа к объектам до тестирования внедрённых мер киберзащиты и фиксации нарушений с использованием аудио- и видеосредств.

По результатам проверки составляется акт, а в случае выявления нарушений — обязательное к исполнению предписание с конкретными сроками их устранения. Невыполнение требований либо отказ предоставлять информацию может повлечь административную ответственность должностных лиц. Если же нарушения создают угрозу национальным интересам, Госспецсвязь имеет право инициировать проверки правоохранительными органами или служебные расследования.

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.