Нардепы пытаются закрепить устаревшие нормы кибербезопасности через «левый» закон

Владимир Кондрашов
Нардепы пытаются закрепить устаревшие нормы кибербезопасности через «левый» закон

Народные депутаты пытаются законодательно закрепить устаревшую норму о подтверждении соответствия комплексной системы защиты информации государственных информационных ресурсов по результатам государственной экспертизы. Норму «пропихивают» через законопроект, не имеющий к кибербезопасности отношения и даже не проходящий рассмотрение в профильном комитете ВРУ по вопросам цифровой трансформации, – законопроект №1055-1 «Об аренде государственного и коммунального имущества».

На это обратил внимание эксперт по кибербезопасности, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко, передает InternetUA.

– Пока все прогрессивные специалисты пытаются навести порядок в нашей сфере, некая группа лиц, продвигая якобы законы по аренде государственной собственности, по-тихому, отдаёт в руки государства и некого «регулятора» бразды правления, – написал Александр Галущенко.

Эксперт обратил внимание на переходные положения законопроекта Об аренде государственного и коммунального имущества». Документом, подписанным нардепами-«слугами народа» Мовчаном, Мотовиловцем и Пидласой, предлагается внести изменения в статью 8 действующего ЗУ «О защите информации в информационно-телекоммуникационных системах». Народные избранники предлагают, чтобы «государственные информресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием или в ЕТС, которая соответствует требованиям стандарта ISO / IEC 27001, что подтверждается сертификатом соответствия», а фразу «Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством» переписать – «Подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы в порядке, установленном законодательством».

71064652_2654851741221012_3565031045629739008_n.jpg (68 KB)

Таким образом, использование СУИБ (стандарта ISO / IEC 27001)  предлагается сделать возможным только для электронных торговых систем (для проведения аукциона в электронной форме) и законодательно закрепить норму о подтверждении КСЗИ  путем государственной экспертизы.

– ГСССЗИ будет вечен. Как Шопен на похоронах, – подчеркнул Александр Галущенко.

К слову, нормы, которые пытаются легитимизировать через переходящие положения законопроекта «Об аренде государственного и коммунального имущества», противоречит норме другого законопроекта, также внесенного «слугами народа», правда законопроекта «профильного» – №2043 «О внесении изменений в Закон Украины "О защите информации в информационно-телекоммуникационных системах" (относительно подтверждения соответствия информационной системы требованиям по защите информации)».  «Профильным» законопроектом предполагается, что «подтверждение соответствия осуществляется по результатам государственной экспертизы, которая проводится с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством». Третью часть статьи 8 также предлагается переписать – исключить слова «сертификат соответствия или», а слова «Подтверждение соответствия и проведение» заменить словом «Проведение». То есть, в новом законопроекте часть третья статьи 8 будет выглядеть так: «Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом, используются средства защиты информации, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере технической и / или криптографической защиты информации. Проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством».

8.jpg (239 KB)

Как мы уже упоминали выше, законопроект «Об аренде государственного и коммунального имущества» не попадет на рассмотрение в Комитет ВРУ, ответственный за вопросы кибербезопасности. То есть, в отрасли единственная надежда на сознательность авторов «имущественного» законопроекта. Документ уже прошел первое чтение и его принятие во втором может привести к законодательной коллизии в сфере кибербезопасности (коллизии у нас решаются не быстро). Сложно судить, что заставило депутатов «пропихивать» через непрофильные законопроекты вопросы из других отраслей, – лоббирование, злой умысел или незнание. Пока ясно одно: «аукнуться» может и авторам (ударом как по их персональному рейтингу, так и по рейтингу «Слуги народа») и всей ИБ-отрасли.

Мы обратились за комментарием о ситуации к зампредседателю Комитета ВРУ по вопросам цифровой трансформации Александру Федиенко (к сфере компетенции подкомитета, возглавляемого Федиенко, как раз относятся вопросы кибербезопасности – Ред.), но ответа пока не получили.