Ар­хі­те­кту­ра пра­ва сфе­ри кі­бер­без­пе­ки в Укра­ї­ні

Yurydychna Gazeta - - АКТУАЛЬНО | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - ЮрійЮ ій КОТЛЯРОВ,КОТЛЯРОВ пар­тнер юри­ди­чної фір­ми Asters

Укра­ї­на зна­хо­ди­ться на по­ча­тку фор­му­ва­н­ня ре­гу­ля­тор­но­го се­ре­до­ви­ща у сфе­рі кі­бер­без­пе­ки. Ду­же ва­жли­во са­ме за­раз ви­ко­ри­сто­ву­ва­ти всі мо­жли­во­сті, для то­го щоб ство­ри­ти всі не­об­хі­дні умо­ви для ефе­ктив­но­го ре­гу­лю­ва­н­ня.

На сьо­го­дні пер­шим та єди­ним за­ко­но­дав­чим актом є За­кон Укра­ї­ни «Про основ­ні за­са­ди за­без­пе­че­н­ня кі­бер­без­пе­ки Укра­ї­ни».

Слід за­зна­чи­ти, що цей за­кон за­да­ва­ти­ме тон для нор­мо­твор­чо­сті в ко­ро­тко­стро­ко­вій пер­спе­кти­ві, пе­ред­ба­чає «на­ро­дже­н­ня» низ­ки ін­ших нор­ма­тив­но-пра­во­вих актів, які й зі­гра­ють клю­чо­ву роль у ство­рен­ні еко­си­сте­ми кі­бер­без­пе­ки в Укра­ї­ні.

Ниж­че спро­бу­є­мо опи­са­ти ни­ні­шні про­це­си та очі­ку­ва­н­ня роз­ви­тку си­сте­ми пра­ва для сфе­ри кі­бер­без­пе­ки в Укра­ї­ні.

Які нор­ма­тив­но-пра­во­ві до­ку­мен­ти очі­ку­ю­ться

Для то­го щоб си­сте­ма кі­бер­без­пе­ки мі­ні­маль­но по­ча­ла пра­цю­ва­ти, пе­ред­ба­ча­є­ться прийня­т­тя та­ких нор­ма­тив­них до­ку­мен­тів:

• По­ря­док фор­му­ва­н­ня пе­ре­лі­ку об'єктів кри­ти­чної ін­фра­стру­кту­ри;

• По­ря­док фор­му­ва­н­ня пе­ре­лі­ку об'єктів кри­ти­чної ін­фор­ма­цій­ної ін­фра­стру­кту­ри;

• Ви­мо­ги до кі­бер­за­хи­сту об'єктів кри­ти­чної ін­фра­стру­кту­ри та оцін­ка кі­бер­за­гроз;

• По­ря­док ау­ді­ю­ва­н­ня ін­фор­ма­цій­ної без­пе­ки.

На­ра­зі про­е­кти та­ких нор­ма­тив­но­пра­во­вих актів зна­хо­дя­ться на ста­дії актив­ної під­го­тов­ки. Ба­га­то з них вже до­сту­пні для пу­блі­чно­го обго­во­ре­н­ня. На до­да­ток до цьо­го пе­ре­лі­ку, як ми вже не раз від­зна­ча­ли, не­об­хі­дно під­го­ту­ва­ти па­кет про дер­жав­но­при­ва­тне пар­тнер­ство у сфе­рі кі­бер­без­пе­ки. Із за­зна­че­них ви­ще про­е­ктів від­по­від­аль­ні дер­жав­ні ор­га­ни в осно­ву за­без­пе­че­н­ня кі­бер­без­пе­ки став­лять уря­до­вий під­хід.

Укра­ї­на по­вин­на ви­йти за ме­жі та­ко­го під­хо­ду та зро­би­ти акцент на дер­жав­но-при­ва­тно­му пар­тнер­стві. До та­ко­го пар­тнер­ства ма­ють бу­ти за­лу­че­ні не ли­ше об'єкти кри­ти­чної ін­фра- стру­кту­ри, але й ма­кси­маль­но не­об­хі­дна кіль­кість суб'єктів при­ва­тно­го пра­ва, спе­ці­а­лі­за­ці­єю яких є кі­бер­без­пе­ка. Слід ви­зна­ти, що ни­ні­шня мо­дель нор­ма­тив­но-пра­во­во­го по­ля з пи­тань дер­жав­но-при­ва­тно­го пар­тнер­ства не най­кра­щим чи­ном під­хо­дить для ре­а­лі­за­ції мас­шта­бно­го, рі­зно­ма­ні­тно­го та ефе­ктив­но­го пар­тнер­ства між дер­жа­вою і при­ва­тним се­кто­ром. То­му ми є при­хиль­ни­ка­ми спе­ці­аль­но­го за­ко­но­дав­ства для цих ці­лей. Однак нам і до­сі не ві­до­мо жо­дної іні­ці­а­ти­ви з бо­ку дер­жа­ви що­до цьо­го пи­та­н­ня.

Ви­зна­че­н­ня пе­ре­лі­ку об'єктів кри­ти­чної ін­фра­стру­кту­ри

Мо­жуть бу­ти рі­зні мо­де­лі фор­му­ва­н­ня по­ді­бно­го пе­ре­лі­ку. Однак клю­чо­ви­ми для фор­му­ва­н­ня пе­ре­лі­ку об'єктів кри­ти­чної ін­фра­стру­кту­ри бу­дуть кри­те­рії іден­ти­фі­ка­ції об'єктів та/або опе­ра­то­рів кри­ти­чної ін­фра­стру­кту­ри, кри­те­рії зна­чу­що­сті на­слід­ків «руй­нів­но­го ефе­кту», ка­те­го­рії об'єктів кри­ти­чної ін­фра­стру­кту­ри (або рів­ні за­без­пе­че­н­ня кі­бер­за­хи­сту).

На­при­клад, від­по­від­но до Ди­ре­кти­ви ЄС №1148 від 06.07.2016 р., вста­нов­ле­но та­кі кри­те­рії верх­ньо­го рів­ня для іден­ти­фі­ка­ції опе­ра­то­рів кри­ти­чної ін­фра­стру­кту­ри:

• суб'єкт на­дає сер­ві­си, які є ду­же ва­жли­ви­ми для під­трим­ки кри­ти­чних со­ці­аль­них та/або еко­но­мі­чних актив­но­стей;

• за­без­пе­че­н­ня та­ких сер­ві­сів за­ле­жить від ме­ре­жі або ін­фор­ма­цій­них си­стем;

• ін­ци­дент мо­же ма­ти зна­чний руй­нів­ний вплив на на­да­н­ня цих по­слуг.

Та­кож Ди­ре­кти­вою вста­нов­ле­ні між­се­кто­раль­ні чин­ни­ки, які що­най­мен­ше по­вин­ні вра­хо­ву­ва­ти­ся для ви­зна­че­н­ня зна­чу­що­сті «руй­нів­но­го ефе­кту»:

• кіль­кість ко­ри­сту­ва­чів, які за­ле­жать від сер­ві­су, що на­да­є­ться суб'єктом;

• за­ле­жність ін­ших се­кто­рів від сер­ві­су, що на­да­є­ться суб'єктом;

• вплив, який ма­ти­муть ін­ци­ден­ти, з по­зи­ції сту­пе­ня і три­ва­ло­сті, на еко­но­мі­чну та со­ці­аль­ну ді­яль­ність або гро­мад­ську без­пе­ку; • рин­ко­ва час­тка та­ко­го суб'єкта; • те­ри­то­рі­аль­не по­ши­ре­н­ня в ре­зуль­та­ті впли­ву ін­ци­ден­ту;

• зна­чу­щість суб'єкта для під­трим­ки до­ста­тньо­го рів­ня сер­ві­су, бе­ру­чи до ува­ги аль­тер­на­тив­ність для за­без­пе­че­н­ня та­ко­го сер­ві­су.

Ва­жли­вою в цьо­му про­це­сі бу­де са­ме про­це­ду­ра ви­зна­че­н­ня об'єктів/суб'єктів за від­по­від­ни­ми кри­те­рі­я­ми. Ймо­вір­но, Укра­ї­на теж мо­же пі­ти шля­хом ви­зна­че­н­ня між­се­кто­раль­них кри­те­рі­їв (за­галь­них для всіх) та спе­ці­аль­них се­кто­раль­них (га­лу­зе­вих). Одним з від­кри­тих пи­тань за­ли­ша­є­ться роз­по­діл зон від­по­від­аль­но­сті фор­му­ва­н­ня се­кто­раль­них кри­те­рі­їв між дер­жав­ни­ми ор­га­на­ми, а та­кож зон від­по­від­аль­но­сті між дер­жор­га­на­ми та при­ва­тним се­кто­ром за під­го­тов­ку від­по­від­ної ін­фор­ма­ції що­до кри­ти­чної ін­фра­стру­кту­ри.

Се­ред про­е­ктів, над яки­ми за­раз пра­цю­ють від­по­від­аль­ні ор­га­ни, про­сте­жу­є­ться по­ді­бна ло­гі­ка. Однак з огля­ду на пев­ну на­ціо­наль­ну спе­ци­фі­ку, мо­жна по­ба­чи­ти по­яву «не єв­ро­пей­ських» ка­те­го­рій за­гроз, та­ких як «імідж дер­жа­ви», «вплив на си­сте­му управ­лі­н­ня дер­жа­вою» або «вплив на по­лі­ти­чну си­ту­а­цію в Укра­ї­ні». Та­кі ка­те­го­рії, мо­жли­во, ще ви­кли­чуть не одну хви­лю дис­ку­сій.

За­галь­ні ви­мо­ги до кі­бер­за­хи­сту

Як вже за­зна­ча­ло­ся ви­ще, пе­ред­ба­ча­є­ться, що одним з нор­ма­тив­но­пра­во­вих до­ку­мен­тів у си­сте­мі пра­ва що­до за­без­пе­че­н­ня кі­бер­без­пе­ки бу­дуть за­твер­дже­ні уря­дом «За­галь­ні ви­мо­ги до кі­бер­за­хи­сту об'єктів кри­ти­чної ін­фра­стру­кту­ри».

Про­гно­зу­є­мо, що іні­ці­а­то­ри та­ко­го про­е­кту вра­ху­ють всі між­на­ро­дні стан­дар­ти на під­ста­ві яких здій­сню­є­ться оцін­ка ри­зи­ків за­гроз. Крім то­го, вкрай не­ба­жа­ним та, мо­жли­во, шкі­дли­вим, ста­не, якщо дер­жа­ва пі­де шля­хом, ко­ли для впро­ва­дже­н­ня від­по­від­них ви­мог що­до кі­бер­за­хи­сту не­об­хі­дно бу­де здій­сню­ва­ти за­твер­дже­н­ня про­е­кту те­хні­чних умов у дер­жав­ній ін­сти­ту­ції. Дру­гим не­га­тив­ним сце­на­рі­єм у цьо­му про­це­сі мо­же ста­ти від­си­ла­н­ня до про­це­дур для сер­ти­фі­ка­ції КСЗІ.

Ау­дит ін­фор­ма­цій­ної без­пе­ки

Про­ект по­ряд­ку про­ве­де­н­ня ау­ди­ту ін­фор­ма­цій­ної без­пе­ки та­кож мо­жна зна­йти в пу­блі­чно­му до­сту­пі. Він мі­стить по­ря­док сер­ти­фі­ка­ції осіб, які ма­ти­муть пра­во на ау­ді­ю­ва­н­ня, по­ря­док ви­да­чі сві­доцтв на пра­во про­ве­де­н­ня ау­ди­ту, а та­кож по­ря­док про­ве­де­н­ня ау­ди­ту. Цей до­ку­мент вкрай «си­рий», то­му над ним хо­ті­ло­ся б до­бря­че по­пра­цю­ва­ти.

Се­ред осо­бли­во­стей цьо­го про­е­кту одра­зу впа­дає в очі див­ний під­хід, за яко­го про­по­ну­є­ться по­ши­ри­ти на ау­ди­то­рів з ІБ-сфе­ри вплив Ау­ди­тор­ської па­ла­ти Укра­ї­ни та по­ши­ре­н­ня стан­дар­тів ау­ди­ту, а та­кож від­су­тність у про­е­кті зга­док про за­сто­су­ва­н­ня між­на­ро­дних стан­дар­тів або їх ім­пле­мен­та­цію. Та­кий під­хід вже не зов­сім впи­су­є­ться у прин­ци­пи, за­кла­де­ні в За­ко­ні «Про основ­ні за­са­ди за­без­пе­че­н­ня кі­бер­без­пе­ки Укра­ї­ни».

На­о­ста­нок вар­то за­зна­чи­ти, що Укра­ї­ні ще слід ба­га­то по­пра­цю­ва­ти для ство­ре­н­ня хо­ча б мі­ні­маль­но­го «па­ке­та» нор­ма­тив­них актів, щоб за­пу­сти­ти си­стем­ний ме­ха­нізм кі­бер­за­хи­сту. На жаль, ми не ба­чи­мо актив­но­го обго­во­ре­н­ня з бо­ку при­ва­тно­го се­кто­ру. В будь-яко­му ви­пад­ку фа­хів­цям з кі­бер­без­пе­ки по­трі­бно вже за­раз до­лу­ча­ти­ся до обго­во­ре­н­ня, а кра­ще – до на­да­н­ня про­по­зи­цій зі ство­ре­н­ня ар­хі­те­кту­ри пра­ва у цій сфе­рі.

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.