Дата публикации: 05.06.2024
юрист, 23-летний опыт работы в сфере принудительного исполнения.
Правовые основы киберзащиты предприятия как объекта критической инфраструктуры.
Сегодня информация в любой сфере бизнеса становится все важнее, используются цели и методы производства. В этой связи чрезвычайно важно защитить информацию. Несколько недавних глобальных эпидемий, негативно повлиявших на многие организации и отдельные люди, также подтверждают эту теорию. Эти инциденты не только еще раз продемонстрировали важность киберзащиты их активов, но и вдохновили новые усилия по совершенствованию соответствующего законодательства.
Крайне важно рассмотреть государственное регулирование национальной кибербезопасности, учитывая, что объекты критической инфраструктуры могут включать компании, учреждения и организации независимо от формы собственности (так называемые объекты критической инфраструктуры). Законодательство охватывает субъекты, которые оказывают значительное влияние на экономику и общественную безопасность, и срыв или отсутствие срыва которых может:
- - негативно влияют на состояние национальной безопасности и обороны, окружающую среду;
- причинить имущественный вред и/или создать угрозу жизни или здоровью людей.
Существуют различные правила кибербезопасности по объектам критической инфраструктуры, эти объекты являются киберзащищенными:
- - Избегание кибератак.
- Выявление и предупреждение кибератак, устранение их последствий.
- восстановление устойчивости и надежности систем технологической связи.
Фактически к объектам критической инфраструктуры можно отнести предприятия, учреждения и организации любой формы собственности, которые:
- 1) участвовать в деятельности и оказывать услуги в сфере энергетики, химического машиностроения, транспорта, информации и связи, электронного банкинга и финансовых услуг.
2) оказывают услуги в сферах жизнеобеспечения населения, в частности, в сферах централизованного водоснабжения, водоотведения, производства электроэнергии и газа, производства пищевых продуктов, сельского хозяйства, здравоохранения и другие услуги.
3) предназначены для коммунальных аварийно-спасательных служб, а также служб, оказывающих неотложную помощь населению.
4) включены в перечень значимых для экономики и безопасности государства предприятий.
5) являются объектами, которые могут быть опасны для технологии или производства.
Основным правовым источником по этому делу является Закон «Об основах обеспечения кибербезопасности в Украине» (далее – Закон), описывающий основные принципы обеспечения безопасности киберпространства, а также государственные и национальные интересы в цифровой сфере. Закон также описывает основные цели, методы и принципы государственной политики кибербезопасности, соответствующие полномочия юридических и физических лиц, а также основные принципы, используемые для координации их действий в целях достижения кибербезопасности.
Закон содержит следующее по киберзащите:
1) все формы собственности, включающие национальные информационные ресурсы, эти формы используются государственными органами, органами местного самоуправления, правоохранительными органами и военными организациями.
2) объекты, которые критически важны для информационной инфраструктуры (например, коммуникационные или технологические системы, связанные с объектом критической инфраструктуры и имеющие кибератаку, непосредственно влияющую на способность поддерживать объект).
3) коммуникационные системы, которые предназначены для удовлетворения общественных требований и/или выполнения юридических соглашений в сфере электронного управления, электронных услуг, электронной коммерции и электронного документооборота.
Закон охватывает объекты критической инфраструктуры, а также все физические лица или организации, участвующие в деятельности или оказывающие услуги, связанные с национальными информационными ресурсами. Эти субъекты являются частью круга субъектов, предпринимающих непосредственные действия для содействия кибербезопасности в пределах своей сферы влияния. информационные услуги, электронные транзакции, защита информации и киберзащита.
Как следствие, положения Закона выполняются многими отдельными компаниями, учитывая широкий спектр отраслей критической инфраструктуры и механизмов киберзащиты. Порядок и критерии отнесения объектов к объектам критической инфраструктуры, перечень этих объектов и общие требования к их кибербезопасности, в том числе по использованию индикаторов киберугроз, утверждаются правительством. Дополнительно в банковской системе НБУ
На начало 2019 года внедряются только актуальные и прогрессивные нормативно-правовые акты. В частности, перечень объектов критической инфраструктуры еще не утвержден, поэтому нельзя делать предположения относительно включения в этот список частных компаний, а также особенностей их киберзащиты и соответствующих аудитов.
Кроме того, Закон содержит правовые, институциональные, финансовые и технические компоненты, связанные с кибербезопасностью. В этой связи компании, которые будут внесены в список критической инфраструктуры, должны, среди прочего, для:
Установление обязательных требований по безопасности объектов критической информационной инфраструктуры при их создании, установке, эксплуатации и обслуживании с учетом международных стандартов и специфики отрасли, для которой информация относится.
- - проведение виртуальных мероприятий при возникновении чрезвычайных ситуаций и инцидентов в киберпространстве.
- аудиты информационной безопасности;
- усовершенствование и усовершенствование технической и криптографической системы защиты информации.
– внедрение единой (универсальной) системы индикаторов киберугрозы, учитывающей международные стандарты по кибербезопасности и киберзащите;
- Сотрудничество государственного и частного секторов в предотвращении киберугроз для объектов критической инфраструктуры, реагировании на кибератаки и инциденты и ликвидации их последствий, в частности в условиях чрезвычайных ситуаций, чрезвычайного и военного положения, это особенно.
Кроме того, компания обязана оказывать помощь субъектам кибербезопасности, сообщать информацию об известных опасностях киберпространства или любой другой форме киберпространства, информацию о кибератаках и их предотвращении, выявлении и прекращении, а также усилия компании по борьбе с киберпреступностью и минимизации пов связанных с ней последствий.
Рекомендуемые действия перечислены в пределах определенных законом способов обеспечения надлежащего функционирования национальной системы кибербезопасности.
В то же время предприятия, имеющие объекты киберзащиты, будут иметь доступ к практической и теоретической помощи по предотвращению, выявлению и ликвидации последствий киберинцидентов в отношении этих объектов от Государственной группы реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA.
Кроме того, сейчас идет процесс формирования перечня информационно-коммуникационных систем объектов критической инфраструктуры. В документе указано, что критическая информационная инфраструктура объектов критической инфраструктуры перечня является критической информационной инфраструктурой государства, которая в первую очередь (в первоочередном порядке) защищена от кибернетического проникновения. Защита от кибератак делегируется владельцу (руководителю) системы в соответствии с нормативными актами по защите информации и кибербезопасности. Кроме того, в перечне отсутствуют информационно-телекоммуникационные системы, не имеющие доступа к зоне ограниченного доступа через электронные средства связи.
Компании, считающиеся критически важной инфраструктурой, должны наблюдать за работой государственных органов в подготовке официальных правил кибербезопасности. Некоторые из этих документов находятся в открытом доступе.
Юридический сервис «Консультант» предоставляет все виды юридических услуг, в том числе и юридические услуги онлайн. Специалисты нашего сервиса составят правовой анализ ситуации по проведению процедуры санации и помогут собрать необходимые документы и при необходимости сопровождают судебный процесс.
