За ініціативи народного депутата Олександра Федієнка представники Держспецзв’язку провели круглий стіл, під час якого обговорили ключові аспекти реалізації Закону України № 4336-IX. Участь у заході взяли понад 70 представників органів влади, державних підприємств та інших заінтересованих установ.
За словами Голови Держспецзв’язку Олександра Потія, прийняття закону було обумовлене як новими викликами, перед якими постає держава, так і вимогами професійної спільноти.
Важливою складовою норм закону є перехід до нових підходів, які передбачають децентралізацію процесу розробки й впровадження заходів захисту інформаційних комунікаційних систем. Реалізація процесів, пов’язаних з розробкою архітектури безпеки та впровадженням заходів захисту, оцінюванням повноти та правильності таких заходів відповідно до нового закону покладається на власників та розпорядників системи з урахуванням здійсненої ними оцінки ризиків.
Такі заходи будуть здійснюватись на основі базових вимог захисту, розроблених Держспецзв’язку з урахуванням кращих світових практик. «Таким чином ми забезпечуємо перехід до децентралізованої моделі побудови кіберзахисту та створення національного фреймворку з меншим втручанням в роботу інших органів», – зазначив Голова Держспецзв’язку.
Водночас забезпечується максимально безболісний перехід до нових підходів. Тобто, якщо орган, установа чи підприємство мають побудовані системи КСЗІ, вони можуть без суттєвих втрат використати ці напрацювання для подання документів за декларативним принципом для реєстрації як авторизованих систем.
Очільник Департаменту захисту інформації Адміністрації Держспецзв’язку Андрій Головенко своєю чергою поінформував учасників круглого столу про порядок авторизації з безпеки інформації систем. Зокрема він розповів про ключові етапи, які включають розроблення базових та галузевих профілів безпеки, формування цільових профілів безпеки, оцінювання їх реалізації в системах та подальшу авторизацію цих систем і їх внесення до відповідного переліку.
Авторизація систем, в яких не обробляється державна таємниця, працює за декларативним принципом. Інформаційні системи, в яких обробляється інформація, яка містить державну таємницю, також матимуть схожий декларативний принцип, але з додатковим аналізом ризиків, передбаченим відповідним порядком.
Він також повідомив, що розроблено проєкт відповідної постанови Уряду щодо порядку авторизації, яким серед іншого передбачається встановлення перехідного періоду для системи, на яких роботи зі створення КСЗІ розпочаті до прийняття зазначеної постанови.
За словами директора Департаменту кіберзахисту Адміністрації Держспецзв’язку Ігоря Мальченюка, прийняття закону забезпечує гармонізацію українського законодавства із законодавством Європейського союзу, зокрема імплементує положення Директиви NIS2 – ключового законодавчого акта ЄС з кібербезпеки.
Водночас закон, серед іншого, пропонує чотири важливі новації: визначення національного CSIRT (групи реагування на інциденти комп’ютерної безпеки) та формування мережі відповідних установ регіонального та галузевого рівня, створення ефективної системи взаємодії та обміну інформацією для ефективного протистояння загрозам у кіберпросторі, запровадження посад фахівців з інформаційної безпеки та відповідних підрозділів у державній сфері та в критичній інфраструктурі, а також посилення ролі навчання фахівців та створення професійної спільноти.
Водночас, як зазначив директор Департаменту державного контролю у сфері захисту інформації та аудиту безпеки Адміністрації Держспецзв’язку Ігор Стельник, закон надає підстави змінити парадигму підходу до впливу з боку держави на підвищення рівня кіберзахисту. За концепцією, що буде додатково представлена для розгляду Урядом, цей підхід включає три рівня впливу – постійний моніторинг стану кіберзахисту на основі самооцінювання, заходи з оцінювання стану кіберзахисту, включно з методом аудиту, і власне самі заходи державного контролю.
Учасники круглого столу впродовж майже трьох годин в режимі живого діалогу могли отримати відповіді на основні питання, які стосувалися подальшої імплементації закону. Як підкреслив народний депутат Олександр Федієнко, зворотній зв’язок, отриманий під час заходу, стане вагомою складовою не лише майбутніх підзаконних актів, а й вплине на подальші законодавчі ініціативи, спрямовані на посилення захисту інформаційних ресурсів.
Нагадаємо, Закон України № 4336-IX «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури» було ухвалено Верховною Радою України 27 березня 2025 року. 17 квітня цього ж року документ підписав Президент України Володимир Зеленський.
Дякуємо Вищій школі публічного управління та Національному агентству України з питань державної служби за допомогу в організації заходу.
За інформацією Держспецзв'язку