Від звітів — до перевірок на місці: як держава контролюватиме кіберзахист критичних об’єктів

Кабмін затвердив новий порядок здійснення державного контролю за дотриманням законодавства у сфері кіберзахисту.

Постанова №1668 визначає, як держава контролюватиме рівень кіберзахисту органів влади, критичної інфраструктури та інших важливих об’єктів, а також які наслідки чекатимуть у разі порушень.

Хто і що контролюватиме

Ключовим органом контролю визначено Адміністрацію Держспецзв’язку та її територіальні органи. Саме вони здійснюватимуть моніторинг і перевірки дотримання вимог у сфері кіберзахисту.

Під дію порядку підпадають:

• органи державної влади та місцевого самоврядування;
• державні й комунальні підприємства та установи;
• військові формування;
• оператори критичної інфраструктури;
• власники й розпорядники інформаційних та технологічних систем, у яких обробляються державні інформаційні ресурси або захищена законом інформація.

Водночас документ не поширюється на Національний банк, банки та фінансові установи, які перебувають під наглядом НБУ, а також на операторів платіжних систем.

Два формати контролю: моніторинг і перевірки

Новий порядок передбачає два основні інструменти державного контролю.

1. Моніторинг стану кіберзахисту.

Він базується на аналізі щорічних звітів про оцінювання стану кіберзахисту, які суб’єкти контролю подають через спеціальну інформаційну систему Держспецзв’язку. Якщо система тимчасово не працює, звіти можна надсилати електронною поштою, через систему електронної взаємодії або рекомендованим листом.

За підсумками моніторингу Держспецзв’язку надаватиме рекомендації щодо усунення виявлених недоліків. Ці результати також враховуватимуться під час оглядів стану кіберзахисту критичної інформаційної інфраструктури.

2. Планові та позапланові перевірки.

Перевірки проводитимуться спеціальними комісіями щонайменше з трьох посадових осіб. Планові перевірки можливі не частіше ніж раз на два роки, а інформація про них заздалегідь оприлюднюватиметься на сайті Держспецзв’язку. Про початок планової перевірки суб’єкта повідомлятимуть мінімум за 10 робочих днів.

Позапланові перевірки можуть ініціюватися у разі:

• звернення самого власника об’єкта;
• сигналів від правоохоронних або контррозвідувальних органів;
• неподання обов’язкових звітів або невиконання приписів;
• виявлення ознак порушень, що можуть створювати кіберзагрози.

Повноваження перевіряльників і відповідальність

Під час перевірок представники Держспецзв’язку отримують широкі повноваження: від аналізу документації та доступу до об’єктів до тестування впроваджених заходів кіберзахисту і фіксації порушень аудіо- та відеозасобами.

За результатами перевірки складається акт, а в разі виявлення порушень — обов’язковий до виконання припис із конкретними строками їх усунення. Невиконання вимог або відмова надавати інформацію може призвести до адміністративної відповідальності посадових осіб. Якщо ж порушення створюють загрозу національним інтересам, Держспецзв’язку має право ініціювати перевірки правоохоронних органів або службові розслідування.

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.