НОВЫЙ ЗАКОН О КИБЕРБЕЗОПАСНОСТИ: ЗАЩИТА ОТ МАСШТАБНЫХ КИБЕРАТАК ВРОДЕ PETYA.A ИЛИ НОВЫЕ ПУТИ ДАВЛЕНИЯ НА БИЗНЕС?

9 ноября, опубликован Закон Украины "Об основных принципах обеспечения кибербезопасности Украины" (№2163- VІІІ).
Законом введено совокупность организационных, правовых, инженерно-технических мероприятий, а также мероприятий криптографической и технической защиты информации, направленных на предотвращение киберинцидентам, выявление и защиту от кибератак, ликвидации их последствий, восстановление устойчивости и надежности функционирования коммуникационных, технологических систем.

Среди прочего, определен перечень органов, которые будут заниматься безопасностью киберпространства в Украине - Совет национальной безопасности и обороны Украины, Государственная служба специальной связи и защиты информации Украины, Национальная полиция Украина, Служба безопасности Украины, Министерство обороны Украины и Генеральный штаб Вооруженных Сил Украины, Национальный банк Украины и другие.
Объектами киберзащиты соответствии с законом являются:

1. коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы и / или используемых в интересах органов государственной власти, органов местного самоуправления, правоохранительных органов и воинских формирований, образованных в соответствии с законом;
2. объекты критической информационной инфраструктуры;
3. коммуникационные системы, которые используются для удовлетворения общественных потребностей и / или реализации правоотношений в сферах электронного управления, электронных государственных услуг, электронной коммерции, электронного документооборота.

При этом, к объектам критической инфраструктуры могут быть отнесены предприятия, учреждения и организации независимо от формы собственности, которые:

• осуществляют деятельность и предоставляют услуги в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах
• предоставляют услуги в сферах жизнеобеспечения населения, в частности в сферах централизованного водоснабжения, водоотведения, снабжения электрической энергии и газа, производства продуктов питания, сельского хозяйства, здравоохранения,
• являются коммунальными, аварийными и спасательными службами, службами экстренной помощи населению;
• включены в перечень предприятий, имеющих стратегическое значение для экономики и безопасности государства;
• являются объектами потенциально опасных технологий и производств.

Критерии и порядок отнесения объектов к объектам критической инфраструктуры, перечень таких объектов, общие требования к их киберзащите, в том числе по применению индикаторов киберугроз, и требования к проведению независимого аудита информационной безопасности должны быть утверждены Кабинетом Министров Украины, а в банковской системе Украины - Национальным банком Украины.
Хотя сейчас такие критерии не утверждены, уже можно с уверенностью констатировать, что закон касается в том числе весьма большого круга предпринимателей, если не сказать почти всех субъектов хозяйственной деятельности, в том числе принадлежащих к частному сектору экономики.
Поскольку закон предусматривает обязательный аудит информационной безопасности на объектах критической инфраструктуры аттестованными субъектами, возможность проведения органами Службы безопасности Украины негласных проверок готовности объектов критической инфраструктуры к возможным кибератакам и киберинцидентов т.п., его реализация на практике может стать дополнительным рычагом давления на бизнес в Украине, к которому необходимо быть готовым: закон вступает в силу 9 мая 2018 года.
Напомним, что актуальность вопроса обеспечения безопасности киберпространства Украины обусловлена событиями 27 июня 2017, когда Украину поразила масштабная хакерская атака вирусом Petya.A.
Надеемся, что реализация положений указанного закона будет направлена именно на предотвращение подобных кибератак.

Автор статті: АО Адвокатское Объединение "Кролевецкий и Партнеры"