Верховна Рада розгляне законопроект про захист державних інформаційних ресурсів і об'єктів критичної інформаційної інфраструктури

У Верховній Раді 27 травня зареєстрували законопроект щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури 11290. Ініціаторами законопроекту виступає група народних депутатів, серед яких Олександр Федієнко, Вадим Івченко, Євгенія Кравчук, Володимир Ватрас, Мар’яна Безугла, Андрій Клочко та інші.

Зокрема, проектом пропонується ввести поняття об’єкт інформаційної діяльності ‒ інженерно-технічна споруда (будівля, приміщення тощо), відокремлена територія (зона), транспортний засіб, намет, в яких провадиться діяльність, пов’язана з обробкою державних інформаційних ресурсів та інформації з обмеженим доступом в органах державної влади, державних органах, державних підприємствах, установах, організаціях, органах місцевого самоврядування та власник об’єкта інформаційної діяльності ‒ юридична особа, якій належить право власності на об’єкт інформаційної діяльності.

Розширюється коло інформації, яка відноситься до державної таємниці.

Визначається, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом в системах, обʼєктах критичної інформаційної інфраструктури, власниками/розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації (КСЗІ), або шляхом авторизації системи з безпеки, або шляхом отримання сертифікату відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності.

Як вказують автори, існує стійка тенденція збільшення кількості загроз національній безпеці у кіберпросторі.

Передумовами, що сприяють зазначеним загрозам є недосконалість законодавчого врегулювання, зокрема:

• потрібне чітке врегулювання функцій та завдань всіх субʼєктів, що мають бути залучені, як публічного так і приватного секторів;
• відсутні правові основи для управління ризиком ланцюгу постачання щодо запровадження заходів безпеки при постачанні товарів, робіт, послуг, що забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем (ІКС), в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури;
• відсутні правові основи функціонування системи реагування на інциденти кібербезпеки, кібератаки у разі виникнення кризової ситуації;
• прогалини щодо проведення оцінювання стану кіберзахисту тощо.

Законопроект передбачає зміни до низки законів, зокрема, про основні засади забезпечення кібербезпеки, про захист інформації в інформаційно-комунікаційних системах, про основні засади державного нагляду (контролю) у сфері господарської діяльності тощо. Передбачено:

• створення та забезпечення функціонування національних систем реагування на інциденти кібербезпеки, кібератаки, кіберзагрози та обміну інформацією про інциденти кібербезпеки щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких оброблються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об'єктів критичної інформаційної інфраструктури, а також визначення завдань, функцій та повноважень суб’єктів національної системи реагування: Національного координаційного центру з кібербезпеки, CERT-UA, галузевих та регіональних команд реагування на інциденти кібербезпеки, кібератаки, кіберзагрози (галузевих та регіональних CSIRT), уповноважених представників Національної поліції України і Служби безпеки України, Об'єднаної групи реагування на інциденти кібербезпеки, кібератаки, кіберзагрози, залучення приватних команд реагування до національних систем реагування та обміну з виконанням функцій та завдань секторальних та/або регіональних команд реагування;
• визначення завдань щодо обміну інформацією;
• визначено правові засади для управління ризиками ланцюгу постачання шляхом запровадження постачальниками вимог безпеки відповідно до рівня ризику у разі, якщо їх товари, роботи, послуги, які вони постачають, забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем (ІКС), в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури;
• з цією метою має бути встановлений порядок підтвердження впровадження заходів безпеки, а власниками/розпорядниками ІКС, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій службова інформація та державна таємниця, а також об'єктів критичної інформаційної інфраструктури,  мають  визначити  рівень  ризику, пов’язаного з критичністю таких товарів, робіт і послуг для забезпечення функціонування своїх ІКС та заходів безпеки інформації, що відповідають такому ризику;
• визначено правові підстави для запровадження альтернативного способу (до існуючих КСЗІ та СУІБ) створення систем безпеки для ІКС шляхом авторизації, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, а також об'єктів критичної інформаційної інфраструктури;
• вдосконалено законодавчі основи для побудови комплексних систем захисту інформації шляхом усунення бар’єрів для імплементації більш гнучкого порядку підтвердження відповідності;
• створення правових засад для виокремлення стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам;
• утворення в органах державної влади, що є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підрозділів із кіберзахисту та призначення керівників із кіберзахисту;
• для виконання функцій та завдань з кіберзахисту щодо критичної інфраструктури оператори критичної інфраструктури призначають відповідальних осіб;
• створення правових засад для запровадження системи оцінювання стану кіберзахисту;
• вдосконалюються законодавчі засади шляхом усунення прогалин в законодавстві щодо існуючих повноважень Держспецзв’язку в частині здійснення ними державного контролю в сфері технічного захисту та кіберзахисту, що створювало невизначеність щодо сфери (предмету) контролю, об’єкта контролю, мети контролю, а також обсягу прав;
• залучення Міністерства цифрової трансформації, Міністерства закордонних справ до складу основних суб'єктів національної системи кібербезпеки з визначенням їх основних завдань у вказаній сфері тощо.

Автор: Наталя Мамченко 

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.