Держспецзв’язку розробила проект Закону України «Про безпеку інформації та інформаційно-комунікаційних систем»
На виконання Указу Президента України від 10 листопада 2019 року №837/2019 «Про невідкладні заходи з проведення реформ та зміцнення держави» з метою реформування галузі захисту інформації шляхом адаптації законодавства України до вимог законодавства Європейського Союзу Адміністрація Держспецзв’язку розробила проект Закону України «Про безпеку інформації та інформаційно-комунікаційних систем» (ІКС).
Текст законопроекту вже оприлюднено й викладено для громадського обговорення. Експерти ТОВ «Софтлайн ІТ» наразі вивчають основні положення, готують свої пропозиції та зауваження.
Законопроект розроблений з урахуванням законодавства Європейського союзу та НАТО, зокрема Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року «Про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу», Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року «Про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних», директивами НАТО AC/35-D/2004-REV3 Security Committee. Primary Directive on CIS Security. Note by the Chairman та AC/35-D/2005-REV3 Nato Unclassified. Security Committee. Management Directive on CIS Security та інших.
Законопроект містить такі новітні підходи до забезпечення безпеки інформації:
— регулювання питань забезпечення безпеки інформації тобто стану захищеності інформації. Зберігаються ключові засади: конфіденційність (confidentiality), цілісність (integrity), придатність (availability – accessibility and useful) та інші властивості (автентичність, підзвітність, безвідмовність та надійність) інформації;
— скасування поняття «КСЗІ» та впровадження процедури акредитації з безпеки інформаційно-комунікаційних систем з урахуванням законодавства ЄС;
— розповсюдження обов’язкової акредитації ІКС, що обробляють державну таємницю, службову інформацію та на об’єкти критичної інформаційної інфраструктури;
— встановлення та регулярний перегляд змісту заходів з безпеки інформації та ІКС за ризикорієнтованою моделлю;
— імплементацію положень NIS-директиви ЄС;
— надання повноважень галузевим регуляторам встановлювати уточнені вимоги з безпеки конфіденційної та відкритої інформації, яка віднесена до державних інформаційних ресурсів;
— скасування ліцензування у галузі криптографічного та технічного захисту інформації та запровадження Реєстру суб’єктів, що здійснюють діяльність у сфері захисту інформації;
— запровадження Реєстру засобів та технічних рішень захисту інформації з підтвердженою відповідністю, з метою надання їм публічності;
— покладання на Держспецзв’язку обов’язків безпекового акредитаційного органу з безпеки інформаційно-телекомунікаційних систем для оброблення інформації НАТО з обмеженим доступом відповідно до законодавства НАТО з питань безпеки інформації;
— встановлення підходів до технічного регулювання засобів захисту інформації в залежності від ступеню обмеження доступу до інформації, що захищається з використанням цих засобів;
— покладення на Адміністрацію Держспецзв'язку функції державного ринкового нагляду за засобами криптографічного захисту інформації,
— запровадження електронної платформи у сфері безпеки інформації та електронної взаємодії, надання відповідних послуг в електронному вигляді та інші.
Держспецзв’язку, Державна служба спеціального зв’язку та захисту інформації України, Про безпеку інформації та інформаційно-комунікаційних систем