Дата публікації: 05.06.2024
юрист, 23-річний досвід роботи у сфері примусового виконання.
Правові засади кіберзахисту підприємства як об'єкта критичної інфраструктури.
Сьогодні інформація в будь-якій сфері бізнесу стає все більш важливою, використовуються цілі та методи виробництва. У зв’язку з цим надзвичайно важливо захистити інформацію. Кілька недавніх глобальних епідемій, які негативно вплинули на багато організацій і окремих людей, також підтверджують цю теорію. Ці інциденти не лише ще раз продемонстрували важливість кіберзахисту їхніх активів, а й надихнули на нові зусилля щодо вдосконалення відповідного законодавства.
Вкрай важливо розглянути державне регулювання національної кібербезпеки з огляду на те, що об’єкти критичної інфраструктури можуть включати компанії, установи та організації незалежно від форми власності (так звані об’єкти критичної інфраструктури). Законодавство охоплює суб’єкти, які мають значний вплив на економіку та громадську безпеку, і зрив чи відсутність зриву яких може:
- негативно впливають на стан національної безпеки і оборони, навколишнє природне середовище;
- заподіяти майнову шкоду та/або створити загрозу життю чи здоров'ю людей.
Існують різні правила кібербезпеки щодо об’єктів критичної інфраструктури, ці об’єкти є кіберзахищеними:
- Уникнення кібератак.
- виявлення та попередження кібератак, усунення їх наслідків.
- Відновлення стійкості та надійності систем технологічного зв'язку.
Фактично до об’єктів критичної інфраструктури можна віднести підприємства, установи та організації будь-якої форми власності, які:
1) брати участь у діяльності та надавати послуги у сферах енергетики, хімічного машинобудування, транспорту, інформації та зв’язку, електронного банкінгу та фінансових послуг.
2) надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, виробництва електроенергії та газу, виробництва харчових продуктів, сільського господарства, охорони здоров'я та інші послуги.
3) призначені для комунальних аварійно-рятувальних служб, а також служб, що надають невідкладну допомогу населенню.
4) включено до переліку значущих для економіки та безпеки держави підприємств.
5) є об'єктами, які можуть бути небезпечними для технології або виробництва.
Основним правовим джерелом у цій справі є Закон «Про основи забезпечення кібербезпеки в Україні» (далі – Закон), який описує основні принципи забезпечення безпеки кіберпростору, а також державні та національні інтереси в цифрова сфера. Закон також описує основні цілі, методи та принципи державної політики кібербезпеки, відповідні повноваження юридичних і фізичних осіб, а також основні принципи, які використовуються для координації їх дій з метою досягнення кібербезпеки.
Закон містить наступне щодо кіберзахисту:
1) усі форми власності, що включають національні інформаційні ресурси, ці форми використовуються державними органами, органами місцевого самоврядування, правоохоронними органами та військовими організаціями.
2) об’єкти, які є критично важливими для інформаційної інфраструктури (наприклад, комунікаційні або технологічні системи, які пов’язані з об’єктом критичної інфраструктури, і які мають кібератаку, яка безпосередньо впливає на здатність підтримувати об’єкт).
3) комунікаційні системи, які призначені для задоволення суспільних вимог та/або виконання юридичних угод у сферах електронного урядування, електронних послуг, електронної комерції та електронного документообігу.
Закон охоплює об’єкти критичної інфраструктури, а також усіх фізичних осіб чи організації, які беруть участь у діяльності чи надають послуги, пов’язані з національними інформаційними ресурсами. Ці суб’єкти є частиною кола суб’єктів, які вживають безпосередні дії для сприяння кібербезпеці в межах своєї сфери впливу. інформаційні послуги, електронні транзакції, захист інформації та кіберзахист.
Як наслідок, положення Закону виконуються багатьма окремими компаніями, враховуючи широкий спектр галузей критичної інфраструктури та механізмів кіберзахисту. Порядок і критерії віднесення об’єктів до об’єктів критичної інфраструктури, перелік цих об’єктів та загальні вимоги до їх кібербезпеки, у тому числі щодо використання індикаторів кіберзагроз, затверджуються урядом. Додатково в банківській системі НБУ
Станом на початок 2019 року впроваджуються лише актуальні та прогресивні нормативно-правові акти. Зокрема, перелік об’єктів критичної інфраструктури ще не затверджений, тому не можна робити припущення щодо включення до цього списку приватних компаній, а також щодо особливостей їх кіберзахисту та відповідних аудитів.
Крім того, Закон містить правові, інституційні, фінансові та технічні компоненти, пов’язані з кібербезпекою. У зв’язку з цим компанії, які будуть внесені до списку критичної інфраструктури, повинні, серед іншого, для:
Встановлення обов’язкових вимог щодо безпеки об’єктів критичної інформаційної інфраструктури під час їх створення, встановлення, експлуатації та обслуговування з урахуванням міжнародних стандартів та специфіки галузі, для якої інформація відноситься.
- проведення віртуальних заходів у разі виникнення надзвичайних ситуацій та інцидентів у кіберпросторі.
- Аудити інформаційної безпеки;
- вдосконалення та удосконалення технічної та криптографічної системи захисту інформації.
– впровадження єдиної (універсальної) системи індикаторів кіберзагрози, що враховує міжнародні стандарти щодо кібербезпеки та кіберзахисту;
– співпраця державного та приватного секторів у запобіганні кіберзагрозам для об’єктів критичної інфраструктури, реагуванні на кібератаки та інциденти та ліквідації їх наслідків, зокрема в умовах надзвичайних ситуацій, надзвичайного та воєнного стану, це особливо.
Крім того, компанія зобов’язана надавати допомогу суб’єктам кібербезпеки, повідомляти інформацію про відомі небезпеки кіберпростору чи будь-якої іншої форми кіберпростору, інформацію про кібератаки та їх запобігання, виявлення та припинення, а також зусилля компанії для боротьби з кіберзлочинністю та мінімізації пов’язаних з нею наслідків.
Рекомендовані дії перераховані в межах визначених законом способів забезпечення належного функціонування національної системи кібербезпеки.
Натомість підприємства, які мають об’єкти кіберзахисту, матимуть доступ до практичної та теоретичної допомоги щодо запобігання, виявлення та ліквідації наслідків кіберінцидентів щодо цих об’єктів від Державної групи реагування на комп’ютерні надзвичайні ситуації України CERT-UA.
Крім того, зараз триває процес формування переліку інформаційно-комунікаційних систем об’єктів критичної інфраструктури. У документі зазначено, що критична інформаційна інфраструктура об’єктів критичної інфраструктури переліку є критичною інформаційною інфраструктурою держави, яка першочергово (в першочерговому порядку) захищена від кібернетичного проникнення. Захист від кібератак делегується власнику (керівнику) системи відповідно до нормативних актів щодо захисту інформації та кібербезпеки. Крім того, у переліку відсутні інформаційно-телекомунікаційні системи, які не мають доступу до зони обмеженого доступу через електронні засоби зв’язку.
Компанії, які вважаються критично важливою інфраструктурою, повинні спостерігати за роботою державних органів у підготовці офіційних правил щодо кібербезпеки. Деякі з цих документів наразі знаходяться у відкритому доступі.
Юридичний сервіс «Консультант» надає всі види юридичних послуг у тому числі і юридичні послуги онлайн. Спеціалісти нашого сервісу складуть правовий аналіз ситуації для проведенні процедури санації та допоможуть зібрати необхідні документи та при необхідності супроводять судовий процес.
