logo-image
Украина движется к урегулированию системы защиты критической инфраструктуры

Это не первые в Украине инициативы, направленные на урегулирование сферы в отношении объектов критической инфраструктуры и их защиты.

Правовое регулирование системы защиты и устойчивости критической инфраструктуры является для Украины перезревшим вопросом.

И, несмотря на вступление в 2018 году в силу базовых законодательных норм, которые обязывали Кабинет министров Украины имплементировать систему нормативных актов, начиная с формирования перечня объектов критической инфраструктуры, до сих пор этого не произошло.

Очевидно, Украина не сможет системно, прозрачно и успешно реагировать на вызовы по отношению к своей критической инфраструктуре, находясь в правовом вакууме.

Поэтому, все действующие инициативы являются лишь логичным ответом государства на свое намерение закрыть этот пробел.

По оценке экспертов Астерс, некоторые из этих инициатив имеют высокую вероятность быть принятыми, а бизнесу – потенциальным объектам критической инфраструктуры – целесообразно включиться в процесс их обсуждения и усовершенствования, а, в отдельных случаях, планировать подготовку к их выполнению.

Астерс продолжает анализировать влияние инициатив на бизнес в Украине, а также активно участвует в их обсуждении с представителями бизнеса и государственных органов – инициаторов проектов.

Ниже – краткий обзор основных инициатив в этой сфере.

Законодательные основания

В 2018 году вступил в силу Закон Украины "Об основных принципах обеспечения кибербезопасности Украины".

Законом введен термин объекта критической инфраструктуры, установлены полномочия для формирования перечня объектов критической инфраструктуры, задекларирован специальный режим для операторов критической инфраструктуры, однако не устанавливаются критерии, согласно которым те или иные объекты могут быть идентифицированы как объекты критической инфраструктуры. Порядок реализации таких полномочий в соответствии с Законом должен быть принят еще в 2018 году.

Действующий Закон определяет, что к объектам критической инфраструктуры могут быть отнесены предприятия, учреждения и организации, которые осуществляют деятельность и предоставляют услуги в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах.

Инициативы Администрации Госспецсвязи

Администрацией Госспецсвязи были разработаны ряд проектов нормативных документов.

Часть проектов является прямым следствием все еще невыполненных с 2018 года обязательств КМУ на основании вышеупомянутого Закона, начиная с установления порядка формирования перечня объектов критической инфраструктуры, их категоризации, специальных режимов и аудита ИБ. Другие являются попыткой реформирования системы защиты информации, которые также предложено распространить в отношении объектов критической инфраструктуры в зависимости от критичности информации, обрабатываемой в используемых информационных коммуникационных системах (ИКС).

Среди таких инициатив:

1.    Пакет проектов, направленных на установление порядка определения объектов критической инфраструктуры:

В данных проектах, среди прочего, определены сектора критической инфраструктуры, перечень основных услуг.

Отнесение объекта к объекту критической инфраструктуры осуществляется по секторам экономики по признаку предоставления услуг, которые определены как "основные услуги".

Например, если предприятие производит или предоставляет услуги по распределению электроэнергии, предоставляет облачные услуги, осуществляет производство или переработку с/х и/или пищевой продукции, предоставляет услуги по интеллектуальному управлению транспортными системами, то такие предприятия будут определены как объекты критической инфраструктуры.

На собственника/руководителя предприятия/учреждения, отнесенного к объекту критической инфраструктуры, возлагается ответственность за обеспечение киберзащиты коммуникационных и технологических систем, обеспечение защиты технологической информации, информирование правительственной команды реагирования (CERT-UA) об киберинцидентах, а также за организацию и проведение независимого аудита информационной безопасности.

2.       Пакет проектов о независимом аудите информационной безопасности объектов критической инфраструктуры:

 3.     Пакет актов о мероприятиях по кибербезопасности, защите информации в отношении объектов критической инфраструктуры и используемых информационно-коммуникационных систем:

Данный проект предусматривает много новаций и вызвал наибольшее количество дискуссий среди инициатив Администрации Госспецсвязи. В настоящее время ожидается публикация обновленной редакции проекта по результатам общественного обсуждения с экспертами и представителями бизнеса.

Среди предлагаемых новаций отмена "КСЗИ" и внедрение процедуры аккредитации по безопасности ИКС; отмена лицензирования в сфере криптографической и технической защиты информации и ведение Реестра субъектов, которые осуществляют деятельность в сфере защиты информации; новый регулятор по безопасности информации и ИКС, функции которого, вероятно, будет выполнять сама же Администрация Госспецсвязи.

Другие инициативы государства в отношении регулирования объектов критической инфраструктуры

Минэкономразвития разработало и 16.06.2020 опубликовало на своем сайте для публичного обсуждения проект закона "О защите критической инфраструктуры".

В проекте закона предлагается определение основных принципов государственной политики в сфере защиты критической инфраструктуры; определение полномочий государственных органов в сфере защиты критической инфраструктуры; категоризация, паспортизация объектов критической инфраструктуры, и многое другое.

Также проектом предусмотрены полномочия Администрации Госспецсвязи на участие в формировании и реализации государственной политики по защите критической технологической информации, киберзащите объектов критической информационной инфраструктуры, будет осуществлять государственный контроль в этой сфере; формирование общих требований к киберзащите объектов критической инфраструктуры; ведение реестра объектов критической информационной инфраструктуры.

За дополнительной информацией, пожалуйста, обращайтесь к партнеру Астерс Юрию Котлярову.

 

 

Подписаться
Спасибо за заявку