Попередні пропозиції ГО «ІСАКА Київ» щодо покращення Закону Про основні засади забезпечення кібербезпеки України

Попередні пропозиції ГО «ІСАКА Київ» щодо покращення Закону Про основні засади забезпечення кібербезпеки України

Київське відділення Всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій – ISACA (Information Systems Audit and Control Association, http://www.isaca.org) уклало Меморандум про співпрацю з ДССЗЗІ.

На запит ДССЗЗІ від 11.12.2014р. ми проводимо опрацювання проекту Закону України «Про основні засади забезпечення кібербезпеки України», та проекту Стратегії забезпечення кібернетичної безпеки України із залученням іноземного досвіду ISACA.

Нам стало відомо, що в рамках Комітету з питань законодавчого забезпечення правоохоронної діяльності створено робочу групу, яка також проводить опрацювання даних документів. Нажаль, ГО «Ісака Київ» не було запрошено до участі в цій робочій групі.

Оскільки ми хочемо, щоб результати нашої роботи було враховано, нижче ми надаємо попередні результати аналізу проекту Закону України «Про основні засади забезпечення кібербезпеки України».

Згідно проведеної експертизи проекту нормативно-правового акту, Закон, в наданій до експертизи редакції від 11 грудня 2014 року не дозволить реалізувати ефективну систему кібербезпеки, порівняну із спроможностями розвинених держав в цій галузі, та адекватну загрозам нашій державі через наступі недоліки:

1. Використання визначень та понятійного апарату, які суттєво обмежують поняття кібербезпеки та, відповідно, об’єкти на які розповсюджується законопроект;
2. Застосування моделі безпеки, заснованій на КСЗІ та НДТЗІ, що є застарілими та непридатними для достатньо оперативного реагування на кібернетичні загрози. Відсутність використання зарекомендувавши себе іноземних стандартів та настанов з кібернетичної безпеки;
3. Завеликий рівень централізації щодо визначення нормативних документів із забезпечення кібербезпеки об’єктів критичної інфраструктури та контролю їх виконання не дозволить врахувати галузеві особливості та розробити вимоги із кібербезпеки специфічні для конкретної галузі;
4. Недостатня роль відведена галузевим регуляторам, громадським організаціям та експертам щодо визначення галузевих стандартів кібернетичної безпеки, та контролю їх виконання із залученням незалежних аудиторів, та експертів, що не відповідає сучасним світовим практиками національної кібербезпеки;
5. Через відсутність єдиного центру, уповноваженого здійснювати оперативне керування та забезпечувати взаємодію силових структур («суб’єктів забезпечення кібернетичної безпеки постійної готовності»), запропонована модель взаємодії силових структур не дозволить достатньо швидко узгоджувати та координувати їх діяльність щодо захисту кіберпростору. Необхідно зазначити що модель управління повинна забезпечити можливість оперативного виконання заходів з кіберзахисту протягом хвилин з моменту настання інциденту, як в мирний, так і в особливий період;
6. Незважаючи на те, що питанню обміну інформацією про атаки приділяється велика увага в розвинених державах, законопроект не передбачає створення розгалуженої системи обміну інформацією про кібернетичні загрози та атаки на галузевому, державному та міждержавному рівні;
7. Законопроект недостатньо охоплює питання підвищення обізнаності громадян в галузі кібербезпеки, забезпечення кібернетичної безпеки для малого та середнього бізнесу, захист громадян від кібер атак, захист дітей в кібер просторі, питання навчання та професійної підготовки кадрів;
8. Законопроектом не передбачено запровадження незалежного громадського контролю ефективності роботи центрального виконавчого органу із забезпечення кібернетичної безпеки, та звітування цього органу Верховній Раді стосовно ефективності забезпечення кібербезпеки держави;
9. Прикінцеві положення Законопроекту, щодо передачі контролю за первинними мережами ЦОВЗ ДССЗЗІ під час особливого стану, не дозволять оперативно реагувати на кібер загрози;
10. Положення щодо зобов’язання провайдерів записувати, та надавати за запитом інформацію про мережевий трафік абонентів несе суттєві загрози зловживань та порушення приватності, в разі, якщо не будуть застосовані контролі, які застосовуються в розвинених державах.

Пропозиції щодо покращення закону:

1. Впровадити децентралізовану модель управління кібербезпекою, за якої функції із створення галузевих стандартів кіберзахисту, контролю їх виконання та обміну інформацією про атаки делегуються галузевим регуляторам або професійним асоціаціям. Подібна модель запроваджена в США - наприклад, в енергетиці асоціація NERC (North American Electric Reliability Corporation), розробила набір стандартів CIP (Critical Infrastructure Protection), які є обов'язковими до застосування для енергетичних компаній;
2. Делегувати питання оцінки кіберзахищеності незалежним від ДССЗЗІ, СБУ та інших правоохоронних служб аудиторам та експертам, які повинні перевіряти критичні об'єкти і звітувати галузевим асоціаціям і Держспецзв'язку. Створити функції внутрішнього аудиту в державних організаціях, які повинні здійснювати перевірки системи контролів у сфері кібербезпеки та інформаційних технологій;
3. Зобов'язати Держспецзв'язок взаємодіяти з галузевими асоціаціями щодо обміну інформацією про атаки та загрози, забезпечення методологічної підтримки, допомоги в розслідуваннях кібератак і відновленні після інцидентів. Додатково, необхідно створити у ДССЗЗІ компетенції з розслідування кіберінцидентів у сфері автоматизації управління виробництвом та промислової автоматики, на прикладі Department of Homeland Security в США;
4. Зафіксувати у «базовому» Законі критичні галузі, а також розробити модель визначення об'єктів, які необхідно віднести до критичної інфраструктури держави, на основі методики ENISA;
5. Створити центр кібербезпеки при президенті України, який буде забезпечувати оперативне управління та координацію дій силових відомств з питань кібербезпеки в мирний час і в особливий період;
6. Розширити визначення кіберпростору, та врегулювати питання кіберзахисту підприємств малого, середнього бізнесу та мобільних пристроїв користувачів. У багатьох країнах держава надає різні види підтримки малому та середньому бізнесу, починаючи від «чекліста» з впровадження кібербезпеки, і закінчуючи підтримкою в реагуванні на атаки;
7. Активно залучати волонтерів та незалежних експертів до роботи державних органів у сфері кіберзахисту. Подібна програма залучення експертів існувала в США, включала сприяння в прискореному отриманні експертом необхідних дозволів та доступу до державної таємниці;
8. Зобов'язати Держспецзв'язок проводити регулярну незалежну оцінку ефективності своєї роботи і щорічно звітувати Верховній Раді України про стан кібербезпеки в країні;
9. Запровадити механізм громадського контролю ефективності заходів в сфері кібербезпеки, зміст яких є державною таємницею;
10. Переорієнтуватися на міжнародні стандарти у сфері управління кібербезпекою, включаючи документи, розроблені NIST і ENISA, замість застарілих вітчизняних стандартів захисту інформації;
11. Запровадити загальнонаціональні випробування та навчання щодо надзвичайних ситуацій та інцидентів в сфері кібербезпеки;
12. Визначити та впровадити методику та процес управління ризиками кібербезпеки на національному рівні. Забезпечити впровадження заходів кібербезпеки, що відповідають рівню ризику;
13. Запровадити програму атестації держслужбовців, що відповідають за захист інформації на володіння сучасними практиками кібербезпеки;
14. створити громадську комісію для контролю дій з перехоплення та вилучення цифрових даних, та запровадити додаткові механізми протидії зловживанням, пов’язаним із перехопленням інформації.