Лист № 268 від 27.12.2019 Держспецзв'язку щодо пропозицій до проєкту постанови КМУ «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури»

27.12.2019
Вихідні реквізити: 
Вих. № 268 від 27.12.2019
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Голові Державної служби спеціального зв’язку та захисту інформації України

ПЕТРОВУ В.В.

вул. Солом’янська, 13, м. Київ, 03110

 

Копія:

Державна регуляторна служба України

вул. Арсенальна, 9/11, м. Київ, 01011

Вих. № 268

від 27 грудня 2019 року

 

Щодо проєкту постанови КМУ «Деякі питання проведення незалежного аудиту

інформаційної безпеки на об’єктах критичної інфраструктури»

 

Шановний Валентине Володимировичу!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.

16 грудня 2019 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) http://www.dsszzi.gov.ua у розділі «Регуляторна діяльність» підрозділ «Оприлюднення проектів регуляторних актів» оприлюднений проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт постанови КМУ), який, як зазначено у Аналізі його регуляторного впливу, розроблено на виконання частини третьої статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон) та абзацу 4 пункту 1 Плану організації підготовки проєктів актів, необхідних для забезпечення реалізації Закону, схваленого на засіданні Кабінету Міністрів України 22 листопада 2017 року (протокол № 66).

ІнАУ, здійснивши аналіз положень проєкту постанови КМУ, надає зауваження та пропозиції для їх врахування.

1. 26 листопада 2019 року ДССЗЗІ з метою проведення громадського обговорення оприлюднено проєкт постанови Кабінету Міністрів України «Про затвердження Порядку віднесення об’єктів до об’єктів критичної інфраструктури», який буде визначати механізм та критерії віднесення об’єктів до об’єктів критичної інфраструктури тощо.

У Аналізі регуляторного впливу до обох проєктів постанов КМУ вказано, що їх дія не буде розповсюджуватися на малі та мікро суб’єкти господарювання.

Разом з цим, у проєкті постанови КМУ не зазначається про те, що його дія не буде розповсюджуватися на малі та мікро суб’єкти.

Пунктом (53) Преамбули Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.

Вважаємо за необхідне узгодити положення вказаних проектів нормативно-правових актів з метою чіткого визначення кола суб’єктів господарювання, до яких будуть застосовуватись ці нормативно-правові акти після їх прийняття.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        

Враховуючи наведене, пропонуємо:

- пункт 2 проєкту Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, які є додатком до проєкту постанови КМУ, після слів «призначені для її оброблення» доповнити виразом: «а також на малі підприємства та мікропідприємства»;

- пункт 1 проєкту Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, який є додатком до проєкту постанови КМУ, після слів «призначені для її оброблення» доповнити виразом: «а також на малі підприємства та мікропідприємства».

 

2. В Аналізі регуляторного впливу до проєкту постанови КМУ зазначається, що середня вартість аудиту одного мережевого ресурсу в Україні становить 20 тис. грн. Орієнтовні суми витрат становлять 100 млн грн. Також вказується, що оцінити витрати на реалізацію регуляторного акта неможливо через відсутність переліку об’єктів критичної інфраструктури держави.

Пунктом 5 проєкту Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури пропонується визначити, що між власником та/або керівником об’єкта критичної інфраструктури та аудитором інформаційної безпеки або аудиторською фірмою у сфері інформаційної безпеки укладається договір з проведення незалежного аудиту. Зазначене, ймовірно, у відповідності до ст.903-904 ЦК України передбачатиме оплатність послуг, які надаватимуться відповідно до такого договору або відшкодування фактичних витрат, необхідних для виконання договору.

Враховуючи наведене, пропонуємо у проєкті Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, який є додатком до проєкту постанови КМУ, визначити, що компенсація витрат, пов’язаних із проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, здійснюється за рахунок державного бюджету України.

Враховуючи наведене, вважаємо, що проєкт постанови КМУ потребує доопрацювання.

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                    А. Пятніков