Рада приняла закон о кибербезопасности(обновлено)
Верховная Рада Украины 257 голосами «за» поддержала во втором чтении законопроект "Об основах обеспечения кибербезопасности Украины", сообщает InternetUA.
– Принятие законодательного акта по кибербезопасности позволит определить правовые и организационные основы обеспечения защиты жизненно важных интересов человека и гражданина, общества и государства, национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности Украины, полномочия и обязанности государственных органов, предприятий, учреждений, организаций, лиц и граждан в этой сфере, основные принципы координации их деятельности по обеспечению кибербезопасности Украины, а также определить базовые термины в сфере кибербезопасности., – говорится в пояснительной записке к законопроекту.
Законом дается определение основным терминам с приставкой кибер- (кибератака, киберугроза, кибербезопасность, киберпреступление и др.), определяются объекты кибербезопасности и киберзащиты, субъекты обеспечения кибербезопасности, обозначаются объекты критической инфраструктуры, принципы обеспечения кибербезопасности и функционирования национальной системы кибербезопасности.
Координация деятельности в сфере кибербезопасности как составляющей национальной безопасности Украины осуществляется Президентом Украины через возглавляемый им Совет национальной безопасности и обороны Украины.
Проект закона прошел длительный путь доработок.
19 июня 2015 законопроект «Об основных принципах обеспечения кибербезопасности Украины» был зарегистрирован под № 2126. 15 июля того же года Комитет Верховной Рады Украины по вопросам информатизации и связи одобрил решение о создании Рабочей группы по разработке законопроекта. 7 октября 201 Комитет поручил Рабочей группе доработать законопроект с учетом заключения Кабмина, предложений и замечаний центральных органов исполнительной власти, бизнеса и общественности с последующим внесением в Верховную Раду Украины доработанной редакции законопроекта с одновременным отзывом проекта закона в редакции от 19 июня 2015 года.
Комменнтарий председателя Правления ИнАУ Александра Федиенко:
Перше що хочу сказати, що держава яка веде військові дії, та не має взагалі закону про основні засади з кібербезпеки це є погано. Скептики кажуть краще взагалі не мати такого закону, аніж мати. Можливо.
Але 2126а це ще не закон про кібербезпеку, більш того, для того, щоб такий термін як кібербезпека запрацювали, ще працювати і працювати.
Багато правок які надавало ІнАУ #Інтернет було враховано, але поки ми не бачимо текста самого закону, важко про щось казати.
Наприклад депутати запевняють, що такий термін як технологічна інформація було видалено, це добре але подивимось…
Закон водить нові терміни, це інцидент кібербезпеки (кіберінцидент), кібератака, критично важливі об’єкти інфраструктури.
Під останній термін у подальшому підпадуть
підприємства, установи та організації незалежно від форми власності, які:
1) провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторі;
Але КМУ повинен у подальшому затвердити окремий документ з критеріями, куди можливо підпадуть і оператори зв’язку .
• критерії та порядок віднесення до об’єктів критичної інфраструктури;
• перелік таких об’єктів,
• загальні вимоги до їх кіберзахисту (в т.ч. застосування індикаторів кіберзагроз, проведення аудиту інформаційної безпеки);
• вимоги та порядок ведення незалежного аудиту інформаційної безпеки на обєктах критичної інфраструктури (окремий документ).
Також законом буде передбачено що КМУ формує вимоги та забезпечує функціонування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури (крім об’єктів критичної інфраструктури у банківській системі України)
Зверніть увагу, що відповідальність тепер буде покладено на ВЛАСНИКІВ та КІРЕВНИКІВ установ.
Відповідальність за забезпечення кіберзахисту (в т.ч. невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA про інциденти кібербезпеки) покладається на власників та/або керівників підприємств, установ, організацій, віднесених до об’єктів критичної інфраструктури.
Закон не буде поширюватися на відносини та послуги, пов’язані із змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах;
соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів;
комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних (крім технологічних систем).
Пропозиції ІнАУ, надані листом №76/1-6 від 24.05.2016, враховані.
Зверніть увагу, що в законі в терміні щодо критичної інфраструктури йде посилання на термін електронних комунікацій але самого закону про електронні комунікації поки не прийнято, тобто або потрібно скоріше приймати закон, або вносити зміни щоб даний закон працював у рамках закону про Телекомунікації.
Підсумовуючи, треба бачити сам текст. Досить багато щодо термінології про яку писало ІнАУ було враховано закон творцями, це зновуж таки з документів над якими ми працювали раніше…
Не хотілосьбі, щоб ми знову отримали документ якиї на меті має одне, а терміни взагалі не відносяться до телекому, хоч і схожі.., як приклад телекомунікаційна система і телекомунікаційна мережа.
Термін введення в дію через 6-ть місяців після опублікування.
П.С. наведу деякі меседжі які я свого часу почув від експертів на подіях у www.coe.int
Держава повинна захищати свободу в мережі Інтернет та обмежувати надмірне регулювання.
Стримування роздмухування ненависті в мережі шляхом негласного нагляду, це доречі модель Ізраїлю.
Безпека в мережі Інтернет це не ліцензія для держави на тотальний контроль репресії та обмеження громадян держави.
Використовування мережі Інтернет для збіру даних щодо подальшого аналізу загроз кібербезпеки.