Лист № 33 від 12.03.2020 Прем'єр-міністру України щодо проєкту постанови КМУ «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури»

12.03.2020
Вихідні реквізити: 
Вих. № 33 від 12.03.2020
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Прем'єр-міністр України

Прем’єр-міністру України

ШМИГАЛЮ Д.А.

вул. Грушевського, 12/2, м. Київ, 01008

 

Копія:

Голові Державної служби спеціального зв’язку та захисту інформації України

ПЕТРОВУ В.В.

вул. Солом’янська, 13, м. Київ, 03110

 

Вих. № 33

від 12 березня 2020 року

 

Щодо проєкту постанови КМУ «Деякі питання проведення незалежного аудиту

інформаційної безпеки на об’єктах критичної інфраструктури»

 

Шановний Денисе Анатолійовичу!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.

Державною службою спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) на виконання частини третьої статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон) та абзацу 4 пункту 1 Плану організації підготовки проєктів актів, необхідних для забезпечення реалізації Закону, схваленого на засіданні Кабінету Міністрів України 22 листопада 2017 року (протокол № 66), розроблено проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт постанови КМУ). Додатками до проєкту постанови КМУ є проєкт Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та проєкт Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.

В першу чергу, звертаємо Вашу увагу, що абзацом другим частини третьої статті 6 Закону визначено, що розроблення нормативно-правових актів з незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури здійснюється на основі міжнародних стандартів, стандартів Європейського Союзу та НАТО з обов’язковим залученнями представників основних суб’єктів національної системи кібербезпеки, наукових установ, незалежних аудиторів та експертів у сфері кібербезпеки, громадських організацій.

Проєкт постанови КМУ, як проєкт регуляторного акту, неодноразово оприлюднювався для громадського обговорення. ІнАУ, в установлений термін, надавало свої зауваження та пропозиції до проєкту постанови КМУ, які враховані частково.

Наразі, вважаємо звернути Вашу увагу на наступне.

1. Пунктом (53) Преамбули Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств. *Цифрова послуга означає послугу у розумінні пункту (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (17), одного з типів, перелічених у додатку 3.

Разом з цим, у проєкті постанови КМУ не зазначається про те, що його дія не буде розповсюджуватися на малі та мікро суб’єкти.

2. В Аналізі регуляторного впливу до проєкту постанови КМУ зазначається, що середня вартість аудиту одного мережевого ресурсу в Україні становить 20 тис. грн. Орієнтовні суми витрат становлять 100 млн грн. Також вказується, що оцінити витрати на реалізацію регуляторного акта неможливо через відсутність переліку об’єктів критичної інфраструктури держави.

Пунктом 5 проєкту Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури пропонується визначити, що між власником та/або керівником об’єкта критичної інфраструктури та аудитором інформаційної безпеки або аудиторською фірмою у сфері інформаційної безпеки укладається договір з проведення незалежного аудиту. Зазначене, ймовірно, у відповідності до вимог ЦК України передбачатиме оплатність послуг, які надаватимуться відповідно до такого договору або відшкодування фактичних витрат, необхідних для виконання договору.

Враховуючи наведене, пропонуємо у проєкті Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури визначити, що тарифи на послуги з проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури регулюватимуться державою та передбачити можливість компенсації витрат, пов’язаних із проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, за рахунок державного бюджету України.

3. Відповідно до частини другої статті 32 Конституції України не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Діяльність аудиторської фірми у сфері інформаційної безпеки може бути пов’язана з доступом до інформації з обмеженим доступом, зокрема, конфіденційної інформації про особу.

Але, у положеннях Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не врегульовані питання допуску аудиторів до інформації з обмеженим доступом, оскільки, як зазначено у проєкті цього документу, звіт, складений за результатами аудиту, є інформацією з обмеженим доступом. Відтак, проєкт документу необхідно доповнити положеннями, які встановлюватимуть порядок допуску незалежних аудиторів до інформації з обмеженим доступом.

4. У проєкті постанови КМУ є нечіткі визначення термінів. Як, наприклад, термін «ризик» пропонується встановити як «ймовірність реалізації певної загрози, що може призвести до завдання збитків».

Проте, термін є нечітким, зокрема, внаслідок нерозкритих термінів складових, як-то «реалізація певної загрози», «завдання збитків».

При цьому, наприклад, у Законі України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» термін «ризик» визначено як «ймовірність виникнення негативних наслідків від провадження господарської діяльності та можливий розмір втрат від них, що вимірюється у кількісних та якісних показниках».

Відтак, термін «ризик» у редакції, запропонованій у проєкті Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, потребує уточнення та доопрацювання.

5. Проєктом Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, як один із принципів проведення незалежного аудиту, пропонується принцип достатності, за яким, наявність звіту незалежного аудиту, наданого аудитором (аудиторською фірмою), або чинного сертифіката відповідності національним стандартам інформаційної безпеки не потребує повторного незалежного аудиту протягом двох років, крім випадків, передбачених цими Вимогами. Проте, така норма не зовсім обґрунтована з огляду на те, що існують об’єкти критичної інфраструктури, які мають комп’ютерні системи різної складності, та, відповідно, ризики різних рівнів. Відтак, встановлення однакового періоду аудиторських перевірок для одних об’єктів може бути невиправдано скороченим, а для інших обтяжливим.

З огляду на наведене, вважаємо, що вказані положення у проєкті Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури потребують уточнення та доопрацювання.

6. Як зазначено у проєкті Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є об’єктивна оцінка відповідності стану інформаційної безпеки на об’єктах критичної інфраструктури встановленим вимогам національних та рекомендаціям міжнародних стандартів інформаційної безпеки.

Разом з цим, законодавством не надано визначення терміну «інформаційна безпека», а також, не визначені стандарти, які визначають вимоги до стану інформаційної безпеки на об’єктах критичної інфраструктури.

Таким чином, на законодавчому рівні у сфері спеціального законодавства, необхідно надати визначення терміну «інформаційна безпека».

 

Враховуючи наведене, вважаємо, що проєкт постанови КМУ потребує доопрацювання.

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                        А. Пятніков