Держспецзв’язку розробила проект Закону України «Про безпеку інформації та інформаційно-комунікаційних систем»

На виконання Указу Президента України від 10 листопада 2019 року № 837/2019 «Про невідкладні заходи з проведення реформ та зміцнення держави» з метою реформування галузі захисту інформації шляхом адаптації законодавства України до вимог законодавства Європейського Союзу Адміністрація Держспецзв’язку розробила проект Закону України «Про безпеку інформації та інформаційно-комунікаційних систем» (ІКС).

Текст законопроекту вже оприлюднено й викладено для громадського обговорення. Експерти ТОВ «Софтлайн ІТ» наразі вивчають основні положення, готують свої пропозиції та зауваження.

Законопроект розроблений з урахуванням законодавства Європейського союзу та НАТО, зокрема Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року «Про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу», Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року «Про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних», директивами НАТО AC/35-D/2004-REV3 Security Committee. Primary Directive on CIS Security. Note by the Chairman та AC/35-D/2005-REV3 Nato Unclassified. Security Committee. Management Directive on CIS Security та інших.

Законопроект містить такі новітні підходи до забезпечення безпеки інформації:

— регулювання питань забезпечення безпеки інформації тобто стану захищеності інформації. Зберігаються ключові засади: конфіденційність (confidentiality), цілісність (integrity), придатність (availability – accessibility and useful) та інші  властивості (автентичність, підзвітність, безвідмовність та надійність) інформації;

— скасування поняття «КСЗІ» та впровадження процедури акредитації з безпеки інформаційно-комунікаційних систем з урахуванням законодавства ЄС;

— розповсюдження обов’язкової акредитації ІКС, що обробляють державну таємницю, службову інформацію та на об’єкти критичної інформаційної інфраструктури;

— встановлення та регулярний перегляд змісту заходів з безпеки інформації та ІКС за ризикорієнтованою моделлю;

— імплементацію положень NIS-директиви ЄС;

— надання повноважень галузевим регуляторам встановлювати уточнені вимоги з безпеки конфіденційної та відкритої інформації, яка віднесена до державних інформаційних ресурсів;

— скасування ліцензування у галузі криптографічного та технічного захисту інформації та запровадження Реєстру суб’єктів, що здійснюють діяльність у сфері захисту інформації;

— запровадження Реєстру засобів та технічних рішень захисту інформації з підтвердженою відповідністю, з метою надання їм публічності;

— покладання на Держспецзв’язку обов’язків безпекового акредитаційного органу з безпеки інформаційно-телекомунікаційних систем для оброблення інформації НАТО з обмеженим доступом відповідно до законодавства НАТО з питань безпеки інформації;

— встановлення підходів до технічного регулювання засобів захисту інформації в залежності від ступеню обмеження доступу до інформації, що захищається з використанням цих засобів;

— покладення на Адміністрацію Держспецзв'язку функції державного ринкового нагляду за засобами криптографічного захисту інформації,

— запровадження електронної платформи у сфері безпеки інформації та електронної взаємодії, надання відповідних послуг в електронному вигляді та інші.