Прем’єр-міністру України
ШМИГАЛЮ Д.А.
вул. Грушевського, 12/2, м. Київ, 01008
Голові Державної служби спеціального зв’язку
та захисту інформації України
ПЕТРОВУ В.В.
вул. Солом’янська, 13, м. Київ, 03110
Копія: Т. в. о. Голови Державної регуляторної служби України
МІРОШНІЧЕНКУ О.М.
вул. Арсенальна, 9/11, м. Київ, 01011
Вих. № 53/1-2
від 28.04.2020
Щодо проєкту постанови КМУ «Деякі питання проведення незалежного аудиту
інформаційної безпеки на об’єктах критичної інфраструктури»
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
14 квітня 2020 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) http://www.dsszzi.gov.ua у розділі «Регуляторна діяльність» підрозділ «Оприлюднення проектів регуляторних актів» оприлюднений проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт постанови КМУ).
Це вже не перша редакція цього проєкту постанови КМУ, яка опубліковується для громадського обговорення. І, слід зазначити, що частину пропозицій, які надавала ІнАУ, враховано. Проте, частина пропозицій, вважаємо, також потребує обговорення та врахування в остаточному тексті проєкту цього документу.
В першу чергу, звертаємо Вашу увагу, що абзацом другим частини третьої статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон) визначено, що розроблення нормативно-правових актів з незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури здійснюється на основі міжнародних стандартів, стандартів Європейського Союзу та НАТО з обов’язковим залученнями представників основних суб’єктів національної системи кібербезпеки, наукових установ, незалежних аудиторів та експертів у сфері кібербезпеки, громадських організацій.
Тому, вчергове, звертаємо увагу на наступне.
1. Пунктом (53) Преамбули Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств. *Цифрова послуга означає послугу у розумінні пункту (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (17), одного з типів, перелічених у додатку 3.
Разом з цим, у проєкті постанови КМУ не зазначається про те, що його дія не буде розповсюджуватися на малі та мікро суб’єкти.
ІнАУ вчергове наполягає на необхідності обговорення цього питання та врахуванні в тесті проєкту постанови КМУ.
Крім того, відповідно до частини другої статті 6 Закону «критерії та порядок віднесення об’єктів до об’єктів критичної інфраструктури, перелік таких об’єктів, загальні вимоги до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз, та вимоги до проведення незалежного аудиту інформаційної безпеки затверджуються Кабінетом Міністрів України». Проте, такі документи Кабінетом Міністрів України до цього часу не затверджені.
В Аналізі регуляторного впливу до проєкту постанови КМУ також зазначається, що оцінити витрати на реалізацію регуляторного акта буде можна після визначення об’єктів критичної інфраструктури. Відповідно до Зеленої книги з питань захисту критичної інфраструктури в Україні, підготовленої Національним інститутом стратегічних досліджень із залученням українських та зарубіжних експертів, і за підтримки Офісу зв’язку НАТО в Україні на сьогодні в Україні існує понад 24 тис. об’єктів, віднесених до категорії потенційно небезпечних. Через відсутність даних щодо вартості послуг незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури України середня вартість проведення незалежного аудиту інформаційної безпеки розраховувалась для об’єкта, який має 50 мережевих ресурсів (середня вартість аудиту одного мережевого ресурсу в Україні — 20 тис. грн. Орієнтовні сумарні витрати становлять 100 млн грн.
Відтак, приймаючи запропонований нормативно-правовий акт, ані його розробник, ані держава в цілому, не знає та не володіє інформацією про його майбутній вплив на малі та мікро суб’єкти підприємництва.
Пунктом 5 проєкту Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури пропонується визначити, що між власником та/або керівником об’єкта критичної інфраструктури та аудитором інформаційної безпеки або аудиторською фірмою у сфері інформаційної безпеки укладається договір з проведення незалежного аудиту. Зазначене передбачатиме оплатність послуг, які надаватимуться відповідно до такого договору або відшкодування фактичних витрат, необхідних для виконання договору, за рахунок власника об’єкта критичної інфраструктури.
Тому, вважаємо доцільним дотримуватись послідовності у прийнятті нормативно-правових актів, передбачених Законом, тобто, в першу чергу, вважаємо за необхідне визначитись на державному рівні з переліком об’єктів критичної інфраструктури, задля повного розуміння створюваного нормативно-правового забезпечення кібербезпеки та кола суб’єктів, на яких буде поширюватись дія нормативно-правових актів.
Крім того, пропонуємо у проєкті Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури визначити, що тарифи на послуги з проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури регулюватимуться державою та передбачити можливість компенсації витрат, пов’язаних із проведенням незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, за рахунок державного бюджету України.
2. Відповідно до частини другої статті 32 Конституції України не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Діяльність аудиторської фірми у сфері інформаційної безпеки може бути пов’язана з доступом до інформації з обмеженим доступом, зокрема, конфіденційної інформації про особу.
Але, у положеннях Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не врегульовані питання допуску аудиторів до інформації з обмеженим доступом, оскільки, як зазначено у проєкті цього документу, звіт, складений за результатами аудиту, є інформацією з обмеженим доступом. Відтак, проєкт документу необхідно доповнити положеннями, які встановлюватимуть порядок допуску незалежних аудиторів до інформації з обмеженим доступом.
3. Як зазначено у проєкті Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є оцінка аудитором інформаційної безпеки відповідності стану інформаційної безпеки на об’єктах критичної інфраструктури встановленим вимогам національних та рекомендаціям міжнародних стандартів інформаційної безпеки, які регламентують порядок дотримання та забезпечення інформаційної безпеки.
Разом з цим, законодавством не надано визначення терміну «інформаційна безпека», а також, не визначені стандарти, які визначають вимоги до стану інформаційної безпеки на об’єктах критичної інфраструктури.
У листі від 07.04.2020 № 11/01/02-651, наданому до ІнАУ, ДССЗЗІ повідомляє про те, що термін «інформаційна безпека» надано у Законі України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки». Дійсно, у цьому Законі інформаційна безпека визначено як «стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації».
Проте, вважаємо, що вказаний Закон, хоч і не втратив чинності на сьогодні, але його положення стосувались реалізації планів розвитку інформаційного суспільства в Україні на період 2007-2015 років.
Таким чином, на законодавчому рівні у сфері спеціального законодавства, необхідно надати визначення терміну «інформаційна безпека».
Враховуючи наведене, вважаємо, що проєкт постанови КМУ потребує доопрацювання та врахування наданих ІнАУ зауважень щодо недопущення непрогнозованого нанесення збитків суб’єктам малого та мікропідприємництва.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков