Пошук

Розширений пошук
null
Головна » Регуляторна діяльність » Оприлюднення проектів регуляторних актів


версія для друку
10 березня 2020

ПРОЕКТ

 

З А К О Н   У К Р А Ї Н И

 

Про безпеку інформації та інформаційно-комунікаційних систем

 

Цей Закон визначає правові та організаційні засади у сфері безпеки інформації та інформаційно-комунікаційних систем, інтеграції та застосовності практик, правил, політик та процедур у цій сфері державними органами, підприємствами, установами і організаціями для забезпечення реалізації прав юридичних та фізичних осіб, виконання державою завдань і функцій, забезпечення прозорості діяльності та демократичного цивільного контролю в цій сфері.

 

 

Стаття 1. Визначення основних термінів

 

У цьому Законі наведені нижче терміни вживаються в такому значенні:

 

безпека інформації – стан захищеності інформації, за якого збережено її  конфіденційність, цілісність та доступність, а також, за необхідності, інші властивості, такі як автентичність, відстежуваність, неспростовність та надійність;

 

безпека інформаційно-комунікаційної системи – здатність інформаційно-комунікаційної системи витримувати – на певному рівні впевненості – будь-яку дію, що загрожує доступності, справжності, цілісності або конфіденційності збережених або переданих чи опрацьованих даних або пов’язаних послуг, які пропонує така інформаційно-комунікаційна система або які доступні за допомогою такої системи;

 

блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі;

 

витік інформації – результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

 

володілець інформації – фізична або юридична особа, якій належать права на інформацію;

 

власник системи – фізична або юридична особа, якій належить право власності на систему. Якщо система належить державі, власником системи є державний орган, який здійснює управління системою;

 

державні електронні інформаційні ресурси – це державні інформаційні ресурси, представлені в електронному;

 

життєво важливі послуги та функції (далі – основні послуги) – послуги та функції, які надаються органами державної влади, установами, підприємствами та організаціями будь-якої форми власності, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України;

 

засіб криптографічного захисту інформації – програмний, апаратно-програмний, апаратний або інший засіб, який призначений для криптографічного захисту інформації;

 

електронна комунікаційна мережа – комплекс технічних засобів електронних комунікацій та споруд, призначених для надання електронних комунікаційних послуг;

 

інформаційно-комунікаційна система – сукупність мереж електронних комунікацій; будь-які пристрої або група взаємоз’єднаних чи пов’язаних пристроїв, один або декілька з яких, відповідно до програми керування ними, здійснюють автоматичне опрацювання цифрових даних; поєднання (для експлуатації, використання, захисту та технічного обслуговування) елементів мереж електронних комунікацій та вказаних пристроїв, задля зберігання, опрацювання, видобування або передавання цифрових даних (визначення з NISD), документація на систему та її функціонування, персонал та користувачі системи;

 

інцидент безпеки – подія або серія небажаних або непередбачуваних подій безпеки інформації , що мають значну ймовірність компрометації функціювання бізнесу та загрози інформаційній безпеці

 

інформаційний актив – інформація, порушення безпеки якої має виключний вплив на функціонування організації, у тому числі інформація, що обробляється в ІКС, програмному забезпеченні та периферійному обладнанні, яке використовується для обробки або захисту інформації;

 

категорія безпеки – характеристика інформації або ІКС, потенційне порушення безпеки яких матиме безпосередній вплив на особу, діяльність підприємства, державного органу, їх інформаційні активи, суспільство та державу;

 

контрольована зона – територія (простір) навколо об’єкта інформаційної діяльності, в межах якої у будь-якому напрямку від цього об’єкта повинне бути виключено знаходження технічних засобів і обладнання несанкціонованого отримання інформації та неконтрольоване перебування сторонніх осіб і транспортних засобів;

 

користувач ІКС – фізична або юридична особа, яка в установленому законодавством порядку отримала право оброблення інформації в ІКС;

 

криптографічний захист інформації – вид захисту інформації, що реалізується шляхом криптографічного перетворення інформації з використанням спеціальних (ключових) даних або без них з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

 

криптографічна система (криптосистема) -  сукупність  засобів

криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає  заходи  безпеки), використання яких забезпечує належний рівень захищеності    інформації, що обробляється, зберігається та (або) передається;

 

несанкціоновані дії щодо інформації в системі – дії, що провадяться з порушенням встановленого порядку доступу до цієї інформації;

 

об’єкт інформаційної діяльності – інженерно-технічна споруда (приміщення), транспортний засіб, де провадиться діяльність, пов'язана з обробленням та озвучуванням секретної інформації;

 

оброблення інформації - виконання однієї або кількох операцій, зокрема: створення, отримання, приймання, збирання, введення, реєстрації, ознайомлення, записування, перетворення, передавання, зчитування, зберігання, знищення, які здійснюються в системі за допомогою технічних і програмних засобів і використовуються для задоволення інформаційних потреб та надання відповідних послуг;

 

порядок доступу до інформації в системі – умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

 

процес управління ризиком (risk management process) – систематичне застосування політик, процедур і практик управління до дій стосовно комунікації, консультацій, визначення обставин та ідентифікації, аналізування, зіставлення, оброблення, моніторингу та перегляду ризиків;

 

ризик – ймовірність того, що визначена загроза, впливаючи на вразливості системи або групи систем, може нанести шкоди активам;

 

розпорядник системи – фізична або юридична особа, яка безпосередньо реалізує заходи із забезпечення функціонування, розвитку, безперервності надання послуг ІКС, а також відповідає за безпеку інформації в середовищі її функціонування, включаючи, але не обмежуючись, постійне планування, бюджетування, виконання та аналіз ефективності реалізованих та корегування раніше визначених заходів з безпеки інформації. За відсутності розпорядника системи зазначені заходи виконуються та відповідальність за безпеку інформації в ІКС покладається на власника системи;

 

технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів, в яких не реалізовуються або не застосовуються криптографічні перетворення, унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації, контроль ефективності захисту інформації від електромагнітного випромінювання;

 

технологічна інформація – дані, що обробляються в системах управління технологічними процесами об’єктів критичної інфраструктури.

 

цифрові послуги – послуга електронної торгівлі он-лайн; пошук он-лайн; послуги хмарних обчислень.

 

Інші терміни вживають у визначеннях, наведених в Законах України «Про інформацію», «Про електронні довірчі послуги», «Про електронну комерцію», «Про Державну службу спеціального зв’язку та захисту інформації України» та інших законах.

 

 

Стаття 2. Законодавство у сфері безпеки інформації

 

Законодавство у сфері безпеки інформації складає цей закон, Закони України «Про інформацію», «Про національну безпеку України», «Про державну таємницю», «Про основні засади забезпечення кібербезпеки України» та інші закони.

 

 

Стаття 3. Сфера дії Закону

 

Цей Закон регулює відносини у сфері безпеки:

 

інформації, що становить державну таємницю (далі – секретна інформація), службової інформації, державних електронних інформаційних ресурсів або іншої інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

 

інформації та даних, захищеність яких має визначальний вплив на стале функціонування об’єктів критичної інфраструктури, надання ними життєво важливих послуг та функцій, а також цифрових та інших наданих електронним способом послуг,

 

інформаційно-комунікаційних систем, в яких така інформація обробляється (далі – ІКС, система).

 

 

Стаття 4. Цілі та принципи безпеки інформації та інформаційно-комунікаційних систем

 

1. Ціллю безпеки інформації в ІКС або на об’єктах інформаційної діяльності (ОІД) та безпеки ІКС, є збереження захищеності інформації умовах постійної зміни загроз в середовищі її оброблення для задоволення потреб та вимог суб’єктів відносин, пов’язаних із забезпеченням безпеки інформації та ІКС.

 

2. Задля досягнення та підтримання цілі безпеки інформації, яка обробляється в ІКС або на ОІД, встановлюються такі принципи безпеки інформації:

 

актуальність визначеного інформаційного активу;

 

управління ризиками безпеці інформації, яке здійснюється протягом всього життєвого циклу ІКС та ОІД для спостереження, зменшення, усунення, уникнення або прийняття ризиків;

 

мінімальність вимог з безпеки – зміст заходів та перелік засобів мають відповідати ризикам безпеці інформаційного активу;

 

надання авторизованим користувачам ІКС та ОІД, суб’єктам та процесам доступу до інформації в обсязі, що відповідає встановленим для них  інформаційним потребам;

 

надання користувачам ІКС найменших привілеїв та повноважень, які необхідні тільки для виконання своїх завдань і обов'язків;

 

самозахист ІКС – кожна ІКС розглядає інші ІКС як ненадійні і здійснює захисні заходи при обміні інформацією з ними;

 

багаторівневий захист – захисні заходи розробляються і реалізуються в компонентах ІКС і засобах захисту інформації настільки, наскільки можливе існування кількох ліній захисту (оборони) при втраті таких компонентів;

 

актуальність безпеки – безпечна конфігурація ІКС повинна розвиватися для підтримки необхідного рівня безпеки при зміні загроз із зовнішнього середовища;

 

стійкість – спроможність ІКС швидко адаптуватися та/або відновитися за будь-якого порушення з метою продовження роботи на прийнятному рівні на основі цілей місії та наслідків порушень для  цілей безпеки;

 

впевненість у функціональності безпеки – спроможність застосованими в ІКС засобами, методами, механізмами і продукцією забезпечувати надання послуг безпеки, яка має підтверджуватись відповідним кваліфікаційним органом;

 

відповідність безпеки – застосування цих принципів і, в подальшому,  виконання в ІКС заходів безпеки спочатку перевіряється, безперервно відслідковується, періодично оцінюється проведенням внутрішнього та зовнішнього аудиту або контролю та їх результатами переглядається; результати, в яких зазначається відповідність стану безпеки зростаючим ризикам або визначено недоліки, які мають бути вирішені, повинні бути повідомлені власнику/розпоряднику ІКС;

 

вчасний, без невиправданої затримки обмін інформацією між уповноваженими на це органами про інциденти безпеки інформації в ІКС та на об’єктах критичної, в тому числі інформаційної, інфраструктури в обсязі, достатньому для оброблення таких інцидентів та вжиття заходів щодо їх нейтралізації або зменшення негативного впливу;

 

використання безпечних продуктів та систем інформаційно-комунікаційних технологій з підтвердженою відповідністю;

 

застосування засобів і обладнання ІКС від надійних постачальників та можливість її власнику/розпоряднику отримати необхідний рівень запевнень у довірі до ланцюга поставок таких засобів і обладнання;

 

заінтересованість, керованість та відповідальне виконання персоналом ІКС, користувачами всіх ланок управління, контролюючими стан безпеки інформації підрозділами та органами встановлених правил, процедур, норм вимог тощо, особливо щодо засобів криптографічного захисту інформації, які впливають на безпеку інформації при її обробленні в середовищі ІКС або на ОІД;

 

залучення до виконання робіт з безпеки інформації суб’єктів, які довели у встановленому порядку свою спроможність виконувати такі роботи;

 

застосуванням засобів і методів криптографічного та технічного захисту секретної інформації та протидії технічним розвідкам.

 

Для забезпечення безпеки інформації та ІКС володільцями інформації можуть застосовуватись додаткові принципи безпеки.

 

3. Застосування та використання цих принципів є обов’язковим при визначенні вимог, проектуванні та створенні ІКС.

 

 

Стаття 5. Повноваження державних органів у сфері безпеки інформації та інформаційно-комунікаційних систем

 

 

1. Визначення засад державної політики, законодавче регулювання відносин у сфері безпеки інформації та ІКС, парламентський контроль за дотриманням цього Закону здійснює Верховна Рада України.

 

 

2. Кабінет Міністрів України визначає:

 

1) вимоги з безпеки державних електронних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, та інформаційно-комунікаційних систем, що їх обробляють, правила та заходи з її забезпечення в органах виконавчої влади, підприємствах державної форми власності та підприємствах, які надають послуги органам виконавчої влади;

 

2) категорії безпеки інформації та ІКС та відповідні ним рівні та загальні вимоги до акредитації ІКС;

 

3) типові вимоги до та завдання підрозділів безпеки інформації в органах виконавчої влади та підприємствах державної форми власності;

 

4) вимоги до виконавців робіт з безпеки інформації та інформаційно-комунікаційних систем, порядок встановлення відповідності виконавців таких робіт цим вимогам,

 

5) порядок криптографічного та технічного захисту секретної інформації,

 

6) національний пункт міжнародного контакту для обміну інформацією про інциденти безпеки інформації та ІКС об’єктів критичної та критичної інформаційної інфраструктури,  затверджує положення про нього та типове положення про галузевий пункт обміну такою інформацією;

 

7) порядок оцінки відповідності засобів криптографічного та технічного захисту інформації.

 

 

3. Спеціально уповноважений орган з безпеки інформації та інформаційно-комунікаційних систем (ОБІС, Network and Information Security Authority,  NISA):

 

1) бере участь у формуванні та здійснює реалізацію державної політики у сфері безпеки інформації та інформаційно-комунікаційних систем;

 

2) проводить аудит та здійснює державний контроль за станом безпеки інформації та інформаційно-комунікаційних систем, протидії технічним розвідкам, додержанням вимог безпеки щодо криптографічних систем, засобів криптографічного захисту інформації та обладнання спеціального зв’язку;

 

3) встановлює вимоги до засобів захисту інформації та порядку захисту секретної та службової інформації в ІКС та на ОІД, бере участь у оцінці та здійснює оцінку відповідності засобів та заходів захисту інформації, ІКС, ОІД вимогам з безпеки інформації;

 

4) здійснює функції державного ринкового нагляду відповідно до Закону України «Про технічні регламенти та оцінку відповідності»;

 

5) здійснює ведення реєстру засобів захисту інформації та організаційно-технічних рішень з підтвердженою відповідністю вимогам з безпеки інформації;

 

6) встановлює вимоги до порядку ведення та здійснює ведення реєстру виконавців робіт з безпеки інформації та ІКС, включення до/виключення з нього відповідних суб’єктів;

 

7) забезпечує виконання національних зобов’язань щодо акредитації з безпеки ІКС, де обробляється інформація НАТО з обмеженим доступом, в тому числі щодо таких ІКС:

 

встановлює порядок акредитації та організовує акредитацію з безпеки;

 

надає консультації, розробляє вимоги і рекомендації з безпеки ІКС;

 

організовує і проводить перевірку впроваджених заходів з безпеки ІКС щодо їх відповідності вимогам законодавства та надає рекомендацій стосовно коригувальних заходів;

 

погоджує застосування засобів криптографічного захисту інформації та апаратних засобів для оброблення та передачі інформації НАТО з обмеженим доступом;

 

здійснює заходи щодо виявлення загроз безпеки секретної та службової інформації, під час її оброблення в ІКС, а також на об’єктах критичної інформаційної інфраструктури, від несанкціонованих дій;

 

8) забезпечує функціонування та розвиток електронної платформи у сфері безпеки інформації та обміну інформацією про інциденти безпеці інформації;

 

9) визначає порядок акредитації інформаційно-комунікаційних систем, у відповідності до категорій безпеки та ступеня обмеження доступу до інформації, яка в них обробляється, та сфери їх застосування за призначенням;

 

10) координує діяльність з акредитації ІКС;

 

11) взаємодіє з національним пунктом міжнародного контакту для обміну інформацією про інциденти безпеки інформації та галузевими пунктами обміну такою інформацією, сприяє розробленню «таксономії» (мови) здійснення такого обміну.

 

 

 

4. Національний банк України здійснює повноваження у сфері безпеки інформації відповідно до Законів України «Про банки і банківську діяльність»,  «Про Національний банк України» та «Про платіжні системи та переказ коштів в Україні» .

 

 

 

5. Державні органи:

 

1) забезпечують  реалізацію державної політики у сфері безпеки інформації та інформаційно-комунікаційних систем у відповідних сферах та галузях економіки у межах повноважень, визначених цим Законом та іншими актами законодавств;

 

2) за необхідності розробляють, погоджують з ОБІС, затверджують і підтримують в актуальному стані з урахуванням галузевої специфіки вимоги з безпеки окремих видів таємної інформації, персональних даних та державних інформаційних ресурсів;

 

3) забезпечують реалізацію принципів безпеки інформації та ІКС у відповідних сферах;

 

4) за необхідності визначають галузеві органи з акредитації КІС та пункти обміну інформацією про інциденти безпеці, про що інформують ОБІС;

 

5) забезпечують належне функціонування та виконання завдань галузевими органами з акредитації ІКС та пунктами обміну інформацією про інциденти безпеці або повідомляють ОБІС про залучений для виконання цих завдань інший галузевий орган акредитації ІКС та пункт обміну інформацією про інциденти;

 

У разі, якщо уповноваженим у відповідній сфері державним органом не встановлені вимоги з безпеки до окремого виду інформації, до такого виду інформації застосовуються вимоги з безпеки службової інформації;

 

 

Стаття 6. Суб'єкти відносин

 

1. Суб'єктами відносин, пов'язаних із забезпеченням безпеки інформації та ІКС, є:

 

володільці інформації;

 

власники/розпорядники ІКС та об’єктів критичної інфраструктури;

 

користувачі ІКС;

 

виконавці робіт з безпеки інформації, оцінки відповідності засобів криптографічного захисту інформації, безпеки продукції інформаційно-комунікаційних технологій;

 

галузеві  органи з акредитації ІКС та обміну інформацією про інциденти безпеки.

 

 

Стаття 7. Умови оброблення, доступу до інформації в ІКС, оброблення та/або озвучування на об’єктах інформаційної діяльності

 

1. Умови обробки інформації в ІКС, правила та режим роботи ІКС, порядок надання доступу до неї визначаються власником ІКС відповідно до договору з володільцем інформації, якщо інше не передбачено законом.

 

Власник ІКС на вимогу володільця інформації надає відомості щодо захисту інформації в ІКС в обсязі, що не розкриває відомостей, володіння якими може нести ризик безпеці інформації.

 

2. Інформація, безпека якої регулюється цим Законом, обробляються в акредитованих ІКС.

 

3. Порядок доступу до інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, визначаються законодавством.

 

Доступ до інформації в ІКС може здійснюватися без дозволу її володільця в порядку, встановленому законом.

 

Порядок доступу до державних електронних інформаційних ресурсів, інформації, порушення безпеки якої має виключний вплив на стале функціонування ОКІ та ОКІІ, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно такої інформації визначаються законодавством.

 

4. Власник системи зобов’язаний передбачити механізми та заходи щодо захисту інформації при обміні інформації з іншими системами.

 

Власник ІКС, яка використовується для обробки інформації з іншої ІКС, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками ІКС, якщо інше не встановлено законодавством.

 

Власник ІКС, яка використовується для обробки інформації з іншої ІКС, повідомляє власника/розпорядника зазначеної ІКС та відповідні правоохоронні органи про виявлені факти несанкціонованих дій щодо інформації в ІКС.

 

 

Стаття 8. Заходи з безпеки інформації

 

Власник/розпорядник ІКС зобов’язаний розробити та впровадити процес управління ризиками безпеці інформації.

 

При цьому він  розробляє та затверджує політики безпеки інформації, управління процесами забезпечення безпеки інформації та інші необхідні для управління ризиками політики.

 

Прийняті політики мають періодично переглядатися у відповідності до поточної оцінки ризиків, бути доступними для ознайомлення для зацікавлених осіб, їх виконання має контролюватися у процесі здійснення внутрішніх аудитів.

 

Для досягнення і підтримування цілей безпеки секретної інформації додатково впроваджуються такі заходи з безпеки інформації:

 

захист від витоку технічними каналами для унеможливлення порушення конфіденційності інформації;

 

захист від спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та доступності;

 

застосування криптосистем, засобів, обладнання та комплексів криптографічного захисту інформації, які допущені до експлуатації та у порядку визначеному і технічній та експлуатаційній документації до них;

 

ідентифікація та автентифікація засобів (пристроїв), процесів, суб’єктів КІС, невідмовлення їх дій щодо інформації.

 

2. Відповідальність за забезпечення захисту інформації в системі покладається на власника (розпорядника) системи.

 

У разі використання у складі КІС засобів криптографічного захисту інформації, утворюється орган спеціального зв’язку (для криптографічного захисту секретної інформації) або служба криптографічного захисту службової інформації (для криптографічного захисту службової інформації, за відсутності органу спеціального зв’язку).

 

3. Для досягнення та підтримування цілей безпеки секретної або службової інформації, а також інформації ІКС об’єктів критичної інформаційної інфраструктури, використовуються засоби захисту інформації, з підтвердженою відповідністю вимогам, встановленим до таких засобів. Підтвердження відповідності таких засобів здійснюється шляхом проведення державної експертизи у сфері технічного або криптографічного захисту інформації, або їх сертифікації.

 

4. У разі позитивних результатів державної експертизи у сфері технічного або криптографічного захисту інформації або їх сертифікації засоби захисту інформації вносяться у Реєстр засобів захисту інформації.

 

5. Для забезпечення захисту секретної інформації, що обробляється та/або озвучується на ОІД, від витоку технічними каналами, створюється комплекс ТЗІ та проводиться його атестація.

 

 

Стаття 9. Акредитація ІКС

 

Акредитація ІКС – документально оформлене офіційне управлінське рішення про використання ІКС за призначенням та для явного прийняття залишкових ризиків безпеки для діяльності організації (у тому числі: призначення, цілей, завдань, функцій/процесів організації), активів організації, фізичних осіб, інших організацій та держави на основі реалізації в ІКС узгодженого набору заходів захисту та приватності.

 

Проведення акредитації здійснюється ОБІС та галузевими органами з акредитації ІКС.

 

Галузеві органи з акредитації ІКС визначається відповідним державним органом та має бути спроможним проводити акредитацію.

 

Галузевий орган з акредитації ІКС на підставі загального порядку може за погодженням з ОБІС визначати порядок акредитації інформаційно-комунікаційних систем у відповідній сфері.

 

Визначений під час акредитації рівень акредитації відображає фактичний стан справ щодо зрілості КІС з питань безпеки і є підставою акредитації КІС та для планування та реалізації заходів з удосконалення безпеки інформації та КІС, в якій вона обробляється.

 

За результатами акредитації КІС видається рішення про акредитацію КІС, яке є підставою для використання ІКС за призначенням, або відмова в акредитації КІС.

 

 

Стаття 10. Роботи з безпеки інформації та їх виконавці

 

1. Роботами з безпеки інформації є:

 

1) розроблення і складення конструкторської та іншої технічної документації, виробництво криптосистем і засобів криптографічного захисту службової інформації та інформації, що становить державну таємницю;

 

2) постачання, монтаж (встановлення), налаштування, технічне обслуговування (супроводження), ремонт та/або утилізація криптосистем і засобів криптографічного захисту службової інформації та інформації, що становить державну таємницю;

 

3) тематичні дослідження криптосистем і засобів криптографічного захисту службової інформації та інформації, що становить державну таємницю;

 

4) експертні дослідження криптосистем і засобів криптографічного захисту конфіденційної інформації.

 

5) оцінка відповідності засобів криптографічного захисту інформації, безпеки продукції інформаційно-комунікаційних технологій;

 

6) акредитація ІКС;

 

7) оцінювання захищеності інформації, що не становить державної таємниці;

 

8) оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю.

 

9) виявлення закладних пристроїв.

 

Роботи з акредитації ІКС, де обробляється секретна або службова інформація та ІКС об’єктів критичної інформаційної інфраструктури, а також роботи із захисту від витоку технічними каналами секретної інформації здійснюють суб’єкти, які включені до реєстру виконавців робіт у сфері безпеки інформації.

 

2. Виконавцями робіт з безпеки інформації можуть державні органи та їх підрозділи, підприємства, установи і організації всіх форм власності, які відповідають вимогам до виконавців таких робіт і перебувають в реєстрі виконавців робіт з безпеки інформації.

 

Рейтинги якості виконаних робіт публікуються на Електронній платформі у сфері безпеки інформації.

 

Виконавці робіт з оцінки відповідності засобів криптографічного захисту інформації, безпеки продукції інформаційно-комунікаційних технологій відповідно до технічних регламентів та національних стандартів, гармонізованих з міжнародними у цій сфері, вносяться до Реєстру виконавців робіт негайно після підтвердження їх акредитації Національним агентством з акредитації України.

 

 

Стаття 11. Галузеві органи з питань обміну інформацією про інциденти безпеки інформації

 

1. Для обміну інформацією між уповноваженими на це органами про інциденти безпеки інформації в ІКС та на об’єктах критичної, в тому числі інформаційної, інфраструктури в обсязі, достатньому для оброблення таких інцидентів та вжиття заходів щодо їх нейтралізації або зменшення негативного впливу призначається національну єдиний пункт міжнародного контакту з безпеки інформації та ІКС.

 

2. Єдиний пункт міжнародного контакту здійснює функції зв'язку (приймання та передавання повідомлень) для забезпечення прикордонного співробітництва з відповідними органами держав, на які негативні наслідки, пов’язані з інцидентами безпеки інформації та КІС, в тому числі об’єктів критичної інфраструктури мають безпосередній вплив.

 

3. Єдиний пункт міжнародного контакту організовує опрацювання повідомлень про інциденти, отримані в рамках міжнародного співробітництва від пунктів контактів інших країн, є координатором при взаємодії галузевих пунктів обміну такою інформацією, проводить консультації та співпрацює з відповідними національними правоохоронними органами і іншими державними органами.

 

 

Стаття 12. Оператори служб надання життєво необхідних послуг

 

Оператори служб надання життєво необхідних послуг (надавачі основних послуг) вживають відповідних та пропорційних технічних та організаційних заходів для управління ризиками, пов‘язаним з безпекою інформації та ІКС, які вони використовують у своїх операціях, що відповідають ризику, який виник.

 

Вживають відповідних заходів для запобігання та мінімізації впливу інцидентів, що впливають на безпеку інформації та ІКС, що використовуються для надання таких основних послуг з метою забезпечення безперервності таких послуг.

 

Без неналежної затримки повідомляють галузевий орган обміну інформацією про інциденти безпеки або ОБІС та правоохоронні органи про інциденти, що мають значний вплив на безперервність основних послуг, які вони надають. Повідомлення повинні включати інформацію, що надає змогу компетентному органу або КРІ визначати будь-який транскордонний вплив інциденту. Повідомлення повинне не призводити до збільшення відповідальності сторони, яка його надсилає.

 

 

Стаття 13. Надавачі цифрових послуг

 

1. Надавачі цифрових послуг вживають відповідних та пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки мереж та інформаційних систем, які вони використовують у контексті пропонування послуг.

 

Такі заходи повинні забезпечувати рівень безпеки мереж та інформаційних систем, що відповідає ризику, який виник, та враховувати такі елементи:

 

(a) безпеку систем та устаткування;

 

(b) врегулювання інцидентів;

 

(c) управління безперервністю бізнесу;

 

(d) моніторинг, аудит та випробовування;

 

(e) відповідність міжнародним стандартам.

 

2. Надавачі цифрових послуг:

 

вживають заходів для запобігання інцидентам, які впливають на безпеку їхніх ІКС, та мінімізації їх негативного впливу на послуги  з метою забезпечення безперервності таких послуг;

 

повідомляють без неналежної затримки завчасно визначений ним  галузевий пункт обміну інформацією про інциденти безпеки або ОБІС та правоохоронні органи про будь-який інцидент, котрий має значний негативний вплив на надання послуги. Повідомлення повинні містити інформацію, що дає змогу ОБІС або КРІ визначати значність будь-якого негативного впливу. Повідомлення повинне не призводити до збільшення відповідальності сторони, яка його надсилає.

 

Якщо оператор основних послуг розраховує на стороннього надавача цифрових послуг для надання послуги, яка є основною для підтримки критичної соціальної та економічної діяльності, то такий оператор повідомляє про будь-який значний негативний вплив на безперервність основних послуг через інцидент, що піддає надавача цифрових послуг негативній дії.

 

 

Стаття 14. Повноваження та відповідальність суб’єктів відносин у сфері безпеки інформації в системах

 

Відповідальність за досягнення та підтримування цілей безпеки інформації та ІКС, а також за її відповідність принципам безпеки інформації   покладається на власника/розпорядника ІКС.

 

Відповідальність за організацію планування, виконання та забезпечення заходів з безпеки інформації в КІС та їх відповідність принципам безпеки інформації покладається на уповноважену посадову особу – керівника з безпеки інформації в КІС, яка призначається з числа заступників керівників підприємств, установ і організацій – власників/розпорядників КІС або об’єкта критичної інфраструктури/критичної інформаційної інфраструктури.

 

Власник ІКС, в якій обробляється секретна або службова інформація, а також ІКС об’єктів критичної інформаційної інфраструктури, утворює службу безпеки інформації або призначає осіб, на яких покладається забезпечення безпеки інформації.

 

Про спроби або факти несанкціонованих дій щодо секретної або службової інформації, а також ІКС об’єктів критичної інформаційної інфраструктури власник ІКС повідомляє ОБІС та правоохоронні органи.

 

 

Стаття 15. Підрозділ безпеки інформації

 

Власник (розпорядник) системи для виконання заходів із забезпечення виконання робіт із безпеки інформації та ІКС створює самостійний підрозділ безпеки інформації (ПБІ), на який покладаються обов’язки щодо підтримання в актуальному стані та контроль за повнотою та ефективністю заходів з безпеки інформації відповідно до запровадженої моделі управління ризиками безпеці інформації.

 

Типове положення про підрозділ безпеки інформації затверджує Кабінет Міністрів України.

 

Підрозділ безпеки інформації є окремим підрозділом, який очолює керівник з безпеки інформації в КІС, підпорядкованим безпосередньо керівникові власника (розпорядника) системи, який організовує та контролює його діяльність. Не дозволяється суміщення функцій підрозділу безпеки інформації з функціями підрозділу, який забезпечує створення та експлуатацію системи.

 

 

Стаття 16. Електронна платформа у сфері безпеки інформації та електронної взаємодії

 

1. Електронна платформа у сфері безпеки інформації та електронної взаємодії – інформаційно-комунікаційна система, що забезпечує проведення процедур регулювання передбачених цим Законом та надання ОБІС адміністративних послуг в електронному вигляді, електронну взаємодію з галузевими регуляторами у сфері безпеки інформації, уповноваженими підрозділами з обміну інформацією про інциденти безпеки інформації та КІС, виконавцями робіт з безпеки інформації та КІС, створення, розміщення, погодження в електронному вигляді, оприлюднення та обмін інформацією і документами, в тому числі подання звітності в електронному вигляді.

 

2. Власником Електронної платформи у сфері безпеки інформації та електронної взаємодії є ОБІС.

 

2. Обов’язковими складовими електронної платформи у сфері безпеки інформації є:

 

1) вимоги до та реєстр виконавців робіт у сфері безпеки інформації та КІС, їх рейтингові та інші оцінки, а також інша інформація, необхідна прийняття рішення щодо залучення виконавця робіт;

 

2) реєстр засобів захисту інформації та організаційно-технічних рішень, де вони застосовуються, із підтвердженою відповідністю;

 

3) роз’яснення та рекомендації щодо:

 

обміну інформації про та порядок оброблення і звітування про результати оброблення інцидентів безпеки інформації;

 

типових звернень з питань організації та ефективності впроваджених механізмів управління безпекою інформації;

 

перевірочні списки вимог для досягнення відповідного рівня (рівнів) акредитації;

 

4) аналітичні огляди щодо ефективності запроваджених норм у сфері безпеки інформації;

 

5) онлайн дискусійні панелі щодо удосконалення вимог та ефективності оцінки відповідності та акредитації з безпеки ІКС, правила та порядок участі в них;

 

6) перелік електронних послуг, порядок, спосіб та умови їх отримання; перелік документів, які погоджуються Держспецзв’язку як оригінали електронних документів;

 

7) публічна частина політики безпеки інформації електронної платформи у сфері безпеки інформації;

 

8) політики щодо акредитації;

 

9) інша інформація у сфері безпеки інформації.

 

3. Інформація, що міститься на електронній платформі у сфері безпеки інформації, крім персональних даних та інформації з обмеженим доступом, є доступною у форматі відкритих даних, у тому числі з урахуванням потреб осіб з порушенням зору.

 

На електронній платформі у сфері безпеки інформації забезпечується можливість пошуку, формування оригіналів електронних документів, з урахуванням вимог законодавства у сфері безпеки інформації та захисту персональних даних.

 

 

Стаття 17. Фінансування заходів забезпечення безпеки інформації

 

Власник (розпорядник) системи щороку під час підготовки бюджетних запитів повинен передбачати кошти на фінансування заходів щодо забезпечення безпеки інформації.

 

Міністерство фінансів України щороку під час розроблення проєкту Державного бюджету України повинно передбачати кошти для фінансування заходів забезпечення безпеки інформації.

 

 

Стаття 18. Відповідальність за порушення законодавства про безпеку інформації в ІКС

 

Особи, винні в порушенні законодавства про безпеку інформації та ІКС, несуть відповідальність згідно із законом.

 

 

Стаття 19. Міжнародні договори

 

Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, визначено інші правила, ніж ті, що передбачені цим Законом, застосовуються норми міжнародного договору.

 

 

Стаття 20. Прикінцеві та перехідні положення

 

1. Цей Закон набирає чинності через рік з дня його опублікування.

 

2. Визнати таким, що втратив чинність, Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» (Відомості Верховної Ради України (ВВР), 2005, № 26, ст.347).

 

3. Внести зміни до таких законів України:

 

1) у Законі України «Про ліцензування видів господарської діяльності» (ВВР, від 05.06.2015 — 2015 р., № 23, стор. 1234, стаття 158):

 

у частині першій статті 7

 

підпункт восьмий виключити. У зв’язку з цим підпункти дев’ятий – тридцять третій вважати відповідно підпунктами восьмим – тридцять другим.

 

2) у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України» (ВВР, від 28.07.2006 — 2006 р., № 30, стор. 1094, стаття 258):

 

3) у Кримінальному кодексі України:

 

Статтю 363. Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється» викласти в редакції

 

«Стаття 363. Порушення правил експлуатації інформаційно-комунікаційних систем, електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється

 

Порушення правил експлуатації інформаційно-комунікаційних систем електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, -

 

караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до десяти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.».

 

4. Атестати відповідності  комплексних систем захисту інформації, експертні висновки для засобів технічного захисту інформації, організаційно-технічні рішення комплексних систем захисту інформації, свідоцтва про допуск до експлуатації засобів криптографічного захисту інформації, криптосистем та засобів спеціального зв’язку, видані відповідно до вимог Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» до набрання чинності цим Законом є чинними до закінчення строку їх дії.

 

5. До приведення нормативно-правових актів у відповідність із цим Законом чинні нормативно-правові акти застосовуються в частині, що не суперечить цьому Закону.

 

6. Кабінету Міністрів України протягом року з дня опублікування цього Закону:

 

привести свої нормативно-правові акти у відповідність із цим Законом;

 

прийняти нормативно-правові акти, передбачені цим Законом;

 

забезпечити приведення нормативно-правових актів міністерств та інших центральних органів виконавчої влади у відповідність із цим законом.

 

 

Голова Верховної Ради України                                                         Дмитро  РАЗУМКОВ

 




Весь контент доступний за ліцензією Creative Commons Attribution 4.0 International license, якщо не зазначено інше.


  Розробник: Корпорація Софтлайн (Україна)         
© Державна служба спеціального зв'язку та захисту інформації України