Пояснительная записка к проекту постановления Кабинета Министров Украины «Некоторые вопросы проведения независимого аудита информационной безопасности на объектах критической инфраструктуры» вместе с самим проектом и приложениями опубликованы на сайте Госспецсвязи.
1. Цель
Проект постановления Кабинета Министров Украины «Некоторые вопросы проведения независимого аудита информационной безопасности на объектах критической инфраструктуры» (далее - проект постановления) разработан с целью определения основных требований и порядка проведения независимого аудита информационной безопасности на объектах критической инфраструктуры .
2. Обоснование необходимости принятия акта
Проект постановления разработан во исполнение части третьей статьи 6 Закона Украины «Об основных принципах обеспечения кибербезопасности Украины» по внедрению системы независимого аудита информационной безопасности и абзаца четвертого пункта 1 Плана организации подготовки проектов актов, необходимых для обеспечения реализации Закона Украины «Об основных принципах обеспечения кибербезопасности Украины», одобренного на заседании Кабинета Министров Украины 22 ноября 2017 (протокол № 66).
Необходимость принятия постановления обусловлена отсутствием сведений о реальном состоянии информационной безопасности на объектах критической инфраструктуры, что делает невозможным системный подход к урегулированию вопроса защиты критической инфраструктуры на общегосударственном уровне. Вопрос обеспечения надлежащего уровня информационной безопасности на объектах критической инфраструктуры не могут быть решены без наличия систематизированного подхода к анализу состояния защиты информации, основанный бы на реальных показателях, полученных во время проведения независимого аудита информационной безопасности.
3. Основные положения проекту акта
Проектом постановления предлагается утвердить Требования о проведении независимого аудита информационной безопасности на объектах критической инфраструктуры и Порядок проведения независимого аудита информационной безопасности на объектах критической инфраструктуры.
4. Правовые аспекты
В этой сфере правового регулирования действуют следующие основные нормативно-правовые акты:
Закон Украины «Об информации» ;
Закон Украины «О защите информации в информационно-телекоммуникационных системах»;
Закон Украины «О Государственной службе специальной связи и защиты информации Украины»;
Закон Украины «Об основных принципах обеспечения кибербезопасности Украины»;
Постановление Кабинета Министров Украины от 19 июня 2019 № 518 « Об утверждении Общих требований к киберзащите объектов критической инфраструктуры»;
Постановление Кабинета Министров Украины от 9 октября 2020 № 943 «Некоторые вопросы объектов критической информационной инфраструктуры»;
Постановление Кабинета Министров Украины от 9 октября 2020 № 1109 «Некоторые вопросы объектов критической инфраструктуры».
5. Финансово-экономическое обоснование
Реализация постановления потребует постоянных затрат с Государственного бюджета Украины.
Реализация постановления не требует открытия новой бюджетной программы и будет осуществляться в пределах расходов потребления общего фонда Государственного бюджета Украины, предусмотренных для каждого государственного органа соответственно. Для этого государственные органы, отнесенные к объектам критической инфраструктуры, при составлении бюджетных запросов должны предусматривать средства на проведение независимого аудита информационной безопасности.
Финансово-экономические расчеты к проекту постановления прилагаются.
6. Позиция заинтересованных сторон
Проект Постановления было размещено на официальном веб сайте Госспецсвязи ( https://www.dsszzi.gov.ua ) для проведения консультаций с общественностью. Замечания и предложения, полученные от Украинской ассоциации операторов связи «Телас», обсуждены в ходе встречи с их представителями (протокол от 25.02.2020 № 11/01 / 01-393). Замечания и предложения, полученные от Интернет ассоциации Украины и Украинского союза промышленников и предпринимателей, учтены частично.
Проект постановления не касается вопросов функционирования местного самоуправления, прав и интересов территориальных общин, местного и регионального развития, социально-трудовой сферы, прав лиц с инвалидностью, функционирования и применения украинского языка как государственного, поэтому не требует согласования с уполномоченными представителями всеукраинских ассоциаций органов местного самоуправления или соответствующих органов местного самоуправления, уполномоченных представителей всеукраинских профсоюзов, их объединений и всеукраинских объединений организаций работодателей, уполномоченным Президента Украины по правам людей с инвалидностью, Правительственным уполномоченным по правам людей с инвалидностью и всеукраинскими общественными организациями лиц с инвалидностью, их союзами Уполномоченным по защите государственного языка.
Проект постановления не касается сферы научной и научно-технической деятельности , поэтому не требует согласования с Научным комитетом Национального совета по вопросам развития науки и технологий.
Проект постановления согласован без замечаний Министерством финансов Украины, Министерством инфраструктуры Украины, Министерством энергетики и защиты окружающей среды Украины, Службой внешней разведки Украины и Государственной регуляторной службой Украины .
Проект постановления согласован с замечаниями Министерством обороны Украины, Министерством внутренних дел Украины, Министерством развития экономики, торговли и сельского хозяйства Украины и Службой безопасности Украины, которые были частично учтены в проектах постановления.
Проект постановления требует проведения цифровой экспертизы Министерством цифровой трансформации Украины и правовой экспертизы Министерством юстиции Украины.
В связи с заключением антикоррупционной экспертизы, подготовленным Национальным агентством по предупреждению коррупции, доработанный проект постановления требует проведения повторной антикоррупционной экспертизы Национальным агентством по предупреждению коррупции.
7. Оценка соответствия
В проекте постановления нет положений, касающихся обязательств Украины в сфере европейской интеграции.
В проекте постановления нет положений, нарушающих права и свободы, которые гарантированы Конвенцией о защите прав человека и основных свобод.
В проекте постановления нет положений, которые влияют на обеспечение равных прав и возможностей женщин и мужчин.
В проекте постановления нет норм, которые содержат риски совершения коррупционных правонарушений и правонарушений, связанных с коррупцией .
В проекте постановления нет положений, которые создают основания для дискриминации.
Национальным агентством по предупреждению коррупции проведения антикоррупционную экспертизу, заключение которой направлено письмом от 05.10.2020 № 21-03 / 53017/20 , по результатам обработки которого отправлено письмо а от 01.12.2020 № 11/01 / 02-1959 о проведении согласительного совещания и письмо от 11.12.2020 № 11/01 / 02-2045 с доработанным проектом постановления . В ответ от Национального агентства по вопросам предотвращения коррупции получено письмо от 24.12.2020 № 21-03 / 68424/20.
Общественная антикоррупционная , общественная Антидискриминационная и общественная гендерно-правовая экспертизы не проводились.
8. Прогноз результатов
Принятие постановления позволит наладить мониторинг состояния защищенности информационных ресурсов объектов критической инфраструктуры, что позволит получать сведения в реальном времени о состоянии информационной безопасности как на отдельных объектах критической инфраструктуры и в регионах, так и в государстве в целом. Указанное будет способствовать проведению централизованного анализа состояния информационной безопасности, оказанию рекомендаций по устранению уязвимостей в системах информационной безопасности и применению требований национальных и международных стандартов информационной безопасности.
Показателями, по которым будет оцениваться эффективность реализации постановления, являются:
- количество недостатков, выявленных во время проведения аудита информационной безопасности на объектах критической инфраструктуры;
- количество предоставленных рекомендаций по повышению уровня защищенности объектов критической инфраструктуры;
- оценка уровня киберзащиты (киберугрозы) по результатам проведения независимого аудита информационной безопасности на объектах критической инфраструктуры.
Реализация постановления не повлияет на рыночную среду, обеспечения защиты прав и интересов граждан, развитие регионов, повышение или снижение способности территориальных общин; рынок труда, уровень занятости населения; общественное здоровье, улучшение или ухудшение состояния здоровья населения или его отдельных групп; экологию и окружающую среду, объем природных ресурсов, уровень загрязнения атмосферного воздуха, воды, земли, в частности загрязнение образованными отходами, другие общественные отношения.
Влияние на интересы заинтересованных сторон:
Заинтересованная сторона | Влияние реализации акта на заинтересованную сторону | Пояснение ожидаемого влияния |
Государство | Обеспечение существования систематизированного подхода к анализу состояния защиты информации на объектах критической инфраструктуры. | Принятие постановления позволит получать актуальную информацию о состоянии информационной безопасности на объектах критической инфраструктуры государства путем проведения мероприятий аудита информационной безопасности, соблюдать принципы плановости и системности аудита информационной безопасности и гарантировать государственные интересы в указанных отраслях , в частности надлежащее качество киберзащиты и киберобороны; в пределах полномочий выявлять и предотвращать возникновение нарушений требований законодательства в указанной сфере объектами критической инфраструктуры. |
Субъекты хозяйствования | Введение обязательности проведения периодического независимого аудита информационной безопасности на предприятиях, в учреждениях и организациях, которые в соответствии с законодательством отнесены к объектам критической инфраструктуры. |