Pages Menu
TwitterRssFacebook
10 декабря
День прав человека

10 декабря 1948 года Генеральная Ассамблея ООН приняла и провозгласила Всеобщую декларацию прав человека (Universal Declaration of Human Rights, UDHR)
Categories Menu

Июл 6, 2015 | Новости Украины | Нет комментариев

Законопроект о кибербезопасности поступил в ВРУ досрочно и в недоработанном виде

Законопроект о кибербезопасности поступил в ВРУ досрочно и в недоработанном виде


В Украине пока что нет базовой стратегии кибербезопасности, и к отражению кибератак государство не готово. Причём, эта тема уже обрастает первыми интригами.

19 июня группа народных депутатов внесла в ВРУ законопроект «Об основных принципах обеспечения кибербезопасноси Украины». Его появление оказалось неожиданностью для многих и привело к скандалам между депутатами и Госспецсвязи. После разбора полетов в Кабмине главу ведомства Владимира Зверева решили снять.

Депутаты готовят такие сложные акты не без сторонней помощи. Началась лоббистская война, и сторон в ней пока минимум три. Первая – Госспецсвязи, главный орган в сфере защиты информации. Это ведомство уже почти год работает над профильным законом, который в разных ипостасях три года блуждает по его кабинетам. Этот документ планировалось доработать до конца 2015 года. Своей экспертизы у ведомства не хватало, поэтому привлекались сторонние эксперты. Документ начали обсуждать и с общественностью.

Однако на последнем заседании общественного совета его участники, подготовившие замечания, узнали, что «сырой» текст проекта Госспецсвязи с минимальными изменениями уже находится на сайте ВРУ под номером 2126а. Само же ведомство не могло объяснить, как так вышло. При этом у депутатов возникла идея отозвать законопроект для его доработки с участием общественности и экспертов. Так, в проекте закона не были прописаны объекты критической инфраструктуры, на которые распространяются обязательства по киберзащите, в том числе и финансовые. Предлагалось определять такие объекты постановлением КМУ, что могло причислить к ним все, включая локальные интернет-сети. Кроме того, депутаты хотят приравнять к телекоммуникационным операторам контент-провайдеров. Под определение контент-провайдера можно подогнать любой сайт и впоследствии регулировать оказание им услуг. Вместе с тем, провайдеров планируют обязать записывать и предоставлять по запросу информацию о сетевом трафике абонентов. Это может привести к злоупотреблениям и нарушениям приватности потребителей.

Общественность, которая старается защитить операторов интернет-доступа и сайты от излишнего государственного вмешательства, выступает второй заинтересованной стороной, которая пытается гнуть свою линию. В Госспецсвязи успокаивают: хотя депутаты опубликовали законопроект, его все равно можно обсуждать. Однако в каком виде будут зафиксированы результаты этих обсуждений, совершенно непонятно.

Сейчас в Госспецсвязи не видят проблем в «досрочной» публикации недоработанного законопроекта и не собираются просить его отозвать. В любом случае, ведомство будет привлекаться к доработке. Также были улажены все моменты по регистрации законопроекта.

Ряд участников обсуждений не исключает, что Госспецсвязи изначально действовала с депутатами сообща, чтобы избежать обсуждений с заинтересованными сторонами и согласований в Кабмине. Есть и другое мнение, которое высказали сказу несколько источников в Госспецсвязи: Зверева намеренно рассорили с Лукьянчуком (первый заместитель комитета парламента по вопросам информатизации и связи Руслан Лукьянчук), чтобы тот нажаловался секретарю СНБО Александру Турчинову. Эта жалоба стала последней каплей, и Зверева сняли, посадив на его место более управляемого и прогнозируемого СБУшника Леонида Евдоченко.

Правки к проекту готовит еще одна сторона – международная организация по разработке методологий и стандартов в сфере ИТ-управления, аудита и кибербезопасности ISACA. Ранее Госспецсвязи подписала с ней меморандум, чтобы совместно трудиться над базовым проектом по кибербезопасности. В марте организация высказала ряд замечаний к документу, но после того, как ее представители в Киеве узнали, что законопроект подан в Верховную Раду, они решили заангажировать других депутатов для подачи в парламент своей версии. Об этом рассказал президент киевского отделения ISACA Алексей Янковский. По закону, депутатам отводится 14 дней после регистрации первого законопроекта на то, чтобы подать альтернативный. В таком случае они будут рассматриваться в парламенте уже в привязке друг к другу. ISACA не успела это сделать, поэтому теперь работает над правками к существующему законопроекту.

3 июля состоялась презентация проекта ISACA в Американской торгово-промышленной палате в Киеве. Зверев знаком с документом ISACA. По его словам, он имеет ту же структуру, что и акт Госспецсвязи. Основные отличия – только в терминологии. Янковский с ним не согласен. По его словам, есть как минимум несколько основных отличий. Во-первых, речь идет о внедрении децентрализованной модели управления кибербезопасностью, при которой функции по созданию отраслевых стандартов киберзащиты, контроля их выполнения и обмена информацией об атаках делегируются отраслевым регуляторам или профессиональным ассоциациям.

«Отраслевые регуляторы – это хорошая идея, но это американская модель, где есть много CERT (Computer Emergency Response Team. Команда реагирования на компьютерные чрезвычайные события), а у нас он только один (CERT-UA, подчинен Госспецсвязи)», – подмечает Зверев.

При этом в Украине у каждой отрасли, по словам Зверева, в любом случае сохраняется право создания отдельных условий для собственной киберзащиты.

Во-вторых, ключевое отличие законопроекта ISACA – делегирование прав на оценку киберзащищенности объектов от Госспецсвязи и СБУ к независимым аудиторам и экспертам. Зверев усматривает здесь коммерческую составляющую. Иными словам, появятся структуры, в том числе и международные, которые смогут зарабатывать на такой оценке. Вместе с тем, вряд ли сейчас у Госспецсвязи самой есть полный набор компетенций для такого мониторинга.

Кроме того, есть еще одно важное отличие.

«Мы предлагаем создать центр кибербезопасности при президенте, который будет уполномочен управлять подразделениями кибербезопасности постоянного реагирования силовых ведомств. Сейчас взаимодействие между ними неэффективно», – завил Янковский.

Какая идея станет основной для кибербезопасности Украины, решать придется не отраслевым экспертам и участникам рынка, а депутатам. Хотя они и обещают учитывать все правки заинтересованных сторон между первым и вторым чтениями проекта, на практике все сводится в политическую плоскость.

Источник: «Экономическая правда»

Читайте так же...

« »