Главная Лента Новостей Контакты Реклама Rss Лента

Грядут перемены: топ-10 новаций Закона о кибербезопасности, которые повлияют на телеком-индустрию

18 ноября 2017 г.   21:41    категория: Аналитика , Технологии

286

8 ноября Президент подписал Закон «Об основных принципах обеспечения кибербезопасности Украины», который вступит в силу 9 мая следующего года. Таким образом, у государства есть 6 месяцев на его реализацию, а у телеком-индустрии – на приведение своей деятельности в соответствие с его положениями.

Законом, прежде всего, дано определение таким распространенным понятиям как «кибератака», «кибербезопасность», «киберпреступления», «кибертерроризм», «кибершпионаж» и другие, которые уже давно применяются на практике, при этом ни одним из законов не определено их четкое разъяснение.

Также в Закон заложены главные принципы в сфере обеспечения кибербезопасности, которые до этого момента основывались на документах «для служебного использования» или на уровне Решений СНБО и Указов Президента.

До момента вступления в силу Закона госорганам необходимо будет разработать и утвердить большой объем документов для того, чтобы этот Закон действительно заработал. То есть, законодателями задан вектор, а как уже будут реализованы нормы Закона, зависит, в том числе, от активности и профессионализма всех вовлеченных в процесс сторон.

Один из важных моментов Закона – это необходимость формирования и утверждения перечня объектов критической инфраструктуры, к которой могут быть отнесены почти все предприятия, осуществляющие свою деятельность на телеком-рынке.

Учитывая этот факт, хочу обратиться к Решению СНБО Украины от 29 декабря 2016 «О совершенствовании мер обеспечения защиты объектов критической инфраструктуры». Указанным Решением уже предусмотрена необходимость (при участии СБУ, Службы внешней разведки, НБУ) внести в зал Верховной Рады проект Закона Украины «О критической инфраструктуре и ее защите» с четко определенными положениями, которые должны быть отражены в Законопроекте.

То есть, почти год назад была поставлена задача по урегулированию вопроса критической инфраструктуры. Однако, такой проект Закона до сих пор не зарегистрирован в ВРУ. Зато Закон о кибербезопасности принят и именно в нем законодатели отобразили почти все положения, которые необходимо было ввести в проект ЗУ «О критической инфраструктуре и ее защите».

В данном случае считаю, что это все же лучше, чем совсем ничего.

Итак, переходя к нормам Закона о кибербезопасности, надо отметить, что он содержит достаточно важные положения, которые непосредственно повлияют на рынок телекоммуникаций.

1На кого же НЕ распространяется действие Закона?

Закон не регулирует:

  • социальные сети, частные электронные информресурсы в Интернете (включая блог-платформы, видеохостинги, другие веб-ресурсы), в случае отсутствия у них информации с ограниченным доступом или же с «грифом секретности»;
  • деятельность, связанную с защитой информации, составляющей государственную тайну;
  • содержание информации, которая хранится и/или обрабатывается;
  • системы, которые не взаимодействуют с публичными сетями, не подключены к сети Интернет, другой глобальной сети.
Это интересно:  На рынке появились биткоин-фьючерсы: Что это значит для инвестора

2Все ли операторы, провайдеры телекоммуникаций – это объекты критической информационной инфраструктуры?

Вот тут интересно! Законом устанавливается необходимость утверждения Перечня таких объектов. К таким объектам гипотетически могут быть отнесены все предприятия, учреждения и организации, осуществляющие деятельность и оказывающие услуги в области ИКТ, электронных коммуникаций. То есть, вероятность отнесения всех провайдеров, операторов телекоммуникаций к таким объектам существенная.

Кроме того, можно утверждать, что в Законе допущено некую методологическую неточность, поскольку операторы, провайдеры как предприятия не могут быть объектами критической информинфраструктуры, потому как по сути они – субъекты.

Вместе с тем, сегодня на законодательном уровне ни одним из нормативных актов не предусмотрено определение электронных коммуникаций. В Раде зарегистрированы шесть (!) законопроектов «Об электронных коммуникациях», ни один из них до сих пор не находит необходимой поддержки в стенах «здания под куполом».

3Можем ли мы рассчитывать на прозрачность при формировании перечня объектов критической информационной инфраструктуры?

Законом заложено, что одним из принципов принятия госорганами решений является прозрачность и обоснованность, а также обязательность уведомления субъектов, которых они касаются, до вступления этих решений в силу (их применения).

Да, возможно норма и декларативная, но ее применение органами власти в дальнейшем будет иметь чрезвычайно большое значение. Поскольку и принятие решения по формированию и утверждению Перечня таких объектов должно приниматься обосновано и быть доведенным до сведения субъектов, которых они касаются. И это логично.

4Реестр объектов критической информационной инфраструктуры – идея хорошая, но как она будет реализована?

Законом определяется, что объекты критической информационной инфраструктуры будут внесены в соответствующий Реестр. Обеспечиваться формирование и функционирование такого Реестра будет в порядке, установленном Кабинетом Министров. Законом предусмотрен такой Реестр, но не определены четкие полномочия за конкретным государственным органом, который будет его вести, вносить в него такие объекты и т.д.

5Система аудита информационной безопасности – положительная новелла или дополнительная лазейка для злоупотреблений?

Законом вводится система аудита информационной безопасности на объектах критической инфраструктуры, а КМУ предоставлены полномочия по формированию требований и обеспечению функционирования такой системы.

То есть субъекты хозяйствования, отнесенные к объектам критической инфраструктуры будут обязаны обеспечить проведение аудита информационной безопасности, а внедрять указанный аудит и устанавливать требования к таким аудиторам, определять порядок их аттестации (переаттестации) будет Госспецсвязи.

Периодическая аттестация (переаттестация) персонала, ответственного за обеспечение кибербезопасности объектов критической инфраструктуры Законом вводится, как обязательное требование.

6«Негласные проверки» и «контроль на уязвимость» системы киберзащиты – единственно необходимая мера для обеспечения кибербезопасности?

Госспецсвязи получила дополнительные полномочия по контролю киберзащиты объектов критической информационной инфраструктуры, а также координации, организации и проведению аудита защищенности телеком- и тех- систем объектов критической инфраструктуры.

Это интересно:  В США приступают к созданию беспилотной армии роботов

Служба безопасности Украины наделяется полномочиями негласно осуществлять такие себе «краш-тесты» готовности Объектов к возможным кибератакам и киберинцидентам. Однако утверждение порядка и взаимодействия по проведению таких негласных проверок Законом не предусмотрено.

7Законом устанавливается дополнительная ответственность для владельцев и/или руководителей предприятий, которые будут отнесены к критической инфраструктуре, а именно за организацию проведения независимого аудита информационной безопасности на указанных объектах.

8Также такие предприятия (независимо от формы собственности) будут обязаны безотлагательно информировать CERT-UA об инцидентах кибербезопасности; взаимодействовать с украинскими командами реагирования на компьютерные чрезвычайные происшествия, а также CERT-UA. Однако, опять же утверждение порядка такого взаимодействия Законом не предусмотрено.

9Вводятся ограничения по обеспечению информационной безопасности и кибербезопасности для субъектов государства-агрессора или лиц, подпадающих под действие спец санкций:

  • на участие в мероприятиях обеспечения информационной безопасности и кибербезопасности (что в данной ситуации является обоснованно);
  • на использование продукции, технологий и услуг таких субъектов.

10Предусмотрена ответственность (гражданская, административная, уголовная) за правонарушения, совершенные в киберпространстве (то есть, если местом или способом осуществления выступает киберпространство).

Подытоживая, необходимо отметить важность принятия указанного Закона.

Вместе с тем, де-факто, в случае отнесения того или иного провайдера, оператора к объекту критической инфраструктуры у него появятся обязательства ввести своего рода «систему кибербезопасности» и привлечь сертифицированных Госспецсвязью аудиторов для проведения ее аттестации, обеспечить постоянную переаттестацию своего ответственного персонала, что потянет за собой существенные финансовые затраты.

Однако, критерии отнесения того или иного телеком-оператора, провайдера к критической инфраструктуре Закон не содержит, а предоставляет ссылку на необходимость их утверждения в дальнейшем.

Поэтому, с целью эффективной реализации норм Закона вопрос установления четких критериев является открытым и требует особого внимания как со стороны ответственного ведомства, так и самих субъектов рынка. Также стоит рассмотреть такой вариант, как предоставление владельцу бизнеса права выбора: относить себя к таким объектам или нет (по так называемому «регистрационному принципу» даже с возможной последующей проверкой правильности такого отнесения со стороны государства).

Бизнес должен понимать, что он получит в качестве «плюшки» от государства в случае отнесения себя к критической инфраструктуре, ведь по сути, телеком-провайдеры будут выполнять функции свойственные государству.

Кроме того, считаю, что государственно-частное партнерство должно быть настоящим партнерством, а не иллюзией, которая больше напоминает безоговорочное навязывание требований и завуалированное давление на бизнес.

Впрочем, время покажет, сможем ли мы реализовать известное выражение «Спасение утопающих – дело рук самих утопающих».

mediasat.info



Загрузка...















Загрузка...

...

Аналитика

...


Новости



Наука


Новости Здоровья


Шоу-биз

Технологии

Курьезы


Видеоновости


Фоторепортаж


...