Провайдеры предлагают доработать требования к киберзащите объектов критической инфраструктуры

Владимир Кондрашов

Интернет Ассоциация Украины направила замечания к проекту постановления Кабинета Министров Украины относительно киберзащиты объектов критической инфраструктуры.

Об этом сообщает InternetUA.

Проект постановления Кабинета Министров Украины «Об утверждении Общих требований по киберзащите объектов критической инфраструктуры, критериев и порядка отнесения объектов к объектам критической инфраструктуры» был подготовлен Государственной службой специальной связи и защиты информации. Предполагается, что приведенные в документе требования будут обязательными для исполнения предприятиями, учреждениями и организациями, которые, в соответствии с законодательством, отнесены к объектам критической инфраструктуры.

Крупнейшее в Украине объединение операторов и провайдеров указывает, что в предложенном проекте постановления КМУ некоторые термины не соответствуют определению терминов законодательства в сфере кибербезопасности.

– К примеру, в проекте Критериев предлагаются определения и применяются термины «жизненно-важные услуги» и «жизненно-важные функции», однако в Законе «Об основных принципах обеспечения кибербезопасности Украины» употребляется похожий по содержанию термин «критически важные объекты инфраструктуры», – объясняют в ИнАУ, – Кроме того, из содержания не понятно, какие именно «негативные последствия для населения, общества, социально-экономического состояния и национальной безопасности» стоит понимать в определении терминов «жизненно-важные услуги» и «жизненно-важные функции».

В ИнАУ считают, что это может привести к разным применениям Закона и этого НПА.

Операторы и провайдеры утверждают, что необходимо доработать определение термина «кризисная ситуация», поскольку предложенная в НПА редакция является нечеткой и, как следствие, непонятной и неоднозначной для использования в сфере законодательства о кибербезопасности. Кроме того, есть вопросы к определениям «элемент объекта критической инфраструктуры», «взаимосвязанные сферы» с элементом объекта критической инфраструктуры, «опасное событие», «штатный режим», «привлечение внешних сил и ресурсов».

– Следствием нечеткой формулировки определения терминов является то, что фактически одинаковыми по своему значению становятся термины «объект критической инфраструктуры» и «уполномоченный орган», – говорится в письме ИнАУ.

Также Интернет Ассоциация Украины обращает внимание разработчиков проекта постановления на 4 пункт Критериев: степень рисков касательно деятельности объекта критической инфраструктуры определяется Методикой оценки рисков на объектах критической инфраструктуры, которая утверждается Кабинетом Министров Украины. А положением пункта 7 проекта Критериев предлагается установить, что порядок отнесения к категориям критичности объектов критической инфраструктуры определяется Кабинетом Министров Украины. Однако, в то же время Законом не установлено полномочий Кабинета Министров Украины касательно разработки таких нормативно-правовых актов и, вообще, не указано на необходимость разработки ни Методики, ни Порядка отнесения к категориям критичности объектов критической инфраструктуры.

– Поэтому, при необходимости и целесообразности принятия как отдельных документов механизмов оценки рисков на объектах критической инфраструктуры и порядка отнесения к категориям критичности объектов критической инфраструктуры, считаем, что эти документы должны быть разработаны и включены как приложения в данное постановление.

В замечаниях к разработанному документу ИнАУ, помимо прочего, указывает на несоответствие проекта Критериев Директиве ЕС от 8 декабря 2008 года об идентификации и определении европейских критических инфраструктур и оценивании необходимости их улучшения и защиты.

– В частности, в статье 3 указанной Директивы рекомендуется идентифицировать потенциальные европейские критические инфраструктуры, которые соответствуют как сквозным, так и секторальным критериям и определениям, предложенным в статье 2(а) и (b), – говорится в замечаниях. – При этом секторальные критерии должны учитывать особенности отдельных секторов ЕКИ.  

С полным текстом замечаний можно ознакомиться ниже: