Об основных принципах обеспечения кибербезопасности Украины
Статья 8. Национальная система кибербезопасности

Ст. 8 ЗУ Об основных принципах обеспечения кибербезопасности Украины от 05.10.2017 № 2163-VIII


Действующий с изменениями и дополнениями. Проверено 08.07.2019

1. Национальная система кибербезопасности является совокупностью субъектов обеспечения кибербезопасности и взаимосвязанных мероприятий политического, научно-технического, информационного, образовательного характера, организационных, правовых, оперативно-розыскных, разведывательных, контрразведывательных, оборонных, инженерно-технических мероприятий, а также мероприятий криптографической и технической защиты информационных ресурсов, киберзащиты объектов критической информационной инфраструктуры.

2. Основными субъектами национальной системы кибербезопасности является Государственная служба специальной связи и защиты информации Украины, Национальная полиция Украина, Служба безопасности Украины, Министерство обороны Украины и Генеральный штаб Вооруженных Сил Украины, разведывательные органы, Национальный банк Украины, в соответствии с Конституцией и законов Украины выполняют в установленном порядке следующие основные задачи:

1) Государственная служба специальной связи и защиты информации Украины обеспечивает формирование и реализацию государственной политики по защите в киберпространстве государственных информационных ресурсов и информации, требование относительно защиты которой установлено законом, киберзащиты объектов критической информационной инфраструктуры, осуществляет государственный контроль в этих сферах; координирует деятельность других субъектов обеспечения кибербезопасности по киберзащиты; обеспечивает создание и функционирование Национальной телекоммуникационной сети, внедрение организационно-технической модели киберзащиты; осуществляет организационно-технические мероприятия по предупреждению, выявлению и реагированию на киберинциденты и кибератаки и устранения их последствий; информирует о киберугрозы и соответствующие методы защиты от них; обеспечивает внедрение аудита информационной безопасности на объектах критической инфраструктуры, устанавливает требования к аудиторам информационной безопасности, определяет порядок их аттестации (переаттестации) координирует, организует и проводит аудит защищенности коммуникационных и технологических систем объектов критической инфраструктуры уязвимость; обеспечивает функционирование Государственного центра киберзащиты, правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA;

2) Национальная полиция Украина обеспечивает защиту прав и свобод человека и гражданина, интересов общества и государства от преступных посягательств в киберпространстве; осуществляет мероприятия по предупреждению, выявлению, пресечению и раскрытию киберпреступлений, повышение осведомленности граждан о безопасности в киберпространстве;

3) Служба безопасности Украины осуществляет предупреждение, выявление, пресечение и раскрытие преступлений против мира и безопасности человечества, совершаемых в киберпространстве; осуществляет контрразведывательные и оперативно-розыскные мероприятия, направленные на борьбу с кибертерроризмом и кибершпионажем, негласно проверяет готовность объектов критической инфраструктуры к возможным кибератак и киберинцидентив; противодействует киберпреступности, последствия которой могут создать угрозу жизненно важным интересам государства; расследует киберинциденты и кибератаки по государственным электронным информационным ресурсам, информации, требование относительно защиты которой установлено законом, критической информационной инфраструктуры; обеспечивает реагирование на киберинциденты в сфере государственной безопасности;

4) Министерство обороны Украины, Генеральный штаб Вооруженных Сил Украины в соответствии с компетенцией осуществляют мероприятия по подготовке государства к отражению военной агрессии в киберпространстве (киберобороны) осуществляют военное сотрудничество с НАТО и другими субъектами оборонной сферы по обеспечению безопасности киберпространства и совместной защиты от киберугроз; внедряют мероприятия по обеспечению киберзащиты критической информационной инфраструктуры в условиях чрезвычайного и военного положения;

5) разведывательные органы Украины осуществляют разведывательную деятельность относительно угроз национальной безопасности Украины в киберпространстве, других событий и обстоятельств, касающихся сферы кибербезопасности;

6) Национальный банк Украины определяет порядок, требования и меры по обеспечению киберзащиты и информационной безопасности в банковской системе Украины и для субъектов перевода средств, осуществляет контроль за их выполнением; создает центр киберзащиты Национального банка Украины, обеспечивает функционирование системы киберзащиты в банковской системе Украины; обеспечивает проведение оценки состояния киберзащиты и аудита информационной безопасности на объектах критической инфраструктуры в банковской системе Украины.

3. Функционирование национальной системы кибербезопасности обеспечивается путем:

1) выработка и оперативной адаптации государственной политики в сфере кибербезопасности, направленной на развитие киберпространства, достижения совместимости с соответствующими стандартами Европейского Союза и НАТО,

2) создание нормативно-правовой и терминологической базы в сфере кибербезопасности, гармонизации нормативных документов в области электронных коммуникаций, защиты информации, информационной безопасности и кибербезопасности в соответствии с международными стандартами, в частности стандартов Европейского Союза и НАТО,

3) установление обязательных требований информационной безопасности объектов критической информационной инфраструктуры, в том числе при их создании, ввод в эксплуатацию, эксплуатации и модернизации с учетом международных стандартов и специфики отрасли, в которую входят соответствующие объекты критической информационной инфраструктуры;

4) формирование конкурентной среды в сфере электронных коммуникаций, предоставление услуг по защите информации и киберзащиты;

5) привлечение экспертного потенциала научных учреждений, профессиональных и общественных объединений к подготовке проектов концептуальных документов в сфере кибербезопасности;

6) проведение учений по действиям в случае чрезвычайных ситуаций и инцидентов в киберпространстве;

7) функционирования системы аудита информационной безопасности, внедрение лучших мировых практик и международных стандартов по вопросам кибербезопасности и киберзащиты;

8) развития сети команд реагирования на компьютерные чрезвычайные события;

9) развития и совершенствования системы технической и криптографической защиты информации;

10) обеспечение соблюдения требований законодательства по защите государственных информационных ресурсов и информации;

11) создание и обеспечение функционирования Национальной телекоммуникационной сети;

12) обмена информацией об инцидентах кибербезопасности между субъектами обеспечения кибербезопасности в порядке, определенном законодательством;

13) внедрение единой (универсальной) системы индикаторов киберугроз с учетом международных стандартов по вопросам кибербезопасности и киберзащиты;

14) подготовки специалистов образовательно-квалификационных уровней бакалавра и магистра по государственному заказу в объеме, необходимом для удовлетворения потребностей государственного сектора экономики, а также за небюджетные средства, в том числе для повышения квалификации и проведения обязательной периодической аттестации (переаттестации) персонала, ответственного за обеспечение кибербезопасности объектов критической инфраструктуры, с учетом международных стандартов;

15) внедрение организационно-технической модели национальной системы кибербезопасности как комплекса мер, сил и средств киберзащиты, направленных на оперативное (кризисное) реагирования на кибератаки и киберинциденты, внедрения контрмер, направленных на минимизацию уязвимости коммуникационных систем;

16) установление требований (правил, установок) по безопасному использованию сети Интернет и предоставления электронных услуг государственными органами;

17) государственно-частной взаимодействия в предотвращении киберугрозами объектам критической инфраструктуры, реагировании на кибератаки и киберинциденты, устранении их последствий, в частности в условиях кризисных ситуаций, чрезвычайного и военного положения, в период;

18) периодического проведения обзора национальной системы кибербезопасности, разработка индикаторов состояния кибербезопасности;

19) стратегического планирования и программно-целевого обеспечения в сфере развития электронных коммуникаций, информационных технологий, защиты информации и киберзащиты;

20) развития международного сотрудничества в области кибербезопасности, поддержки международных инициатив в сфере кибербезопасности, которые отвечают национальным интересам Украины, углубление сотрудничества Украины с Европейским Союзом и НАТО с целью усиления способности Украины в сфере кибербезопасности, участия в мероприятиях по укреплению доверия при использовании киберпространства, что проводятся под эгидой Организации по безопасности и сотрудничеству в Европе;

21) осуществление оперативно-розыскных, разведывательных, контрразведывательных и других мероприятий, направленных на предотвращение, выявление, пресечение и раскрытие преступлений против мира и безопасности человечества, совершаемых с использованием киберпространства, расследование, преследование, оперативного реагирования и противодействия киберпреступности, разведывательно-подрывной, террористической и другой деятельности в киберпространстве, что наносит ущерб интересам Украины, использованию сети Интернет в военных целях;

22) осуществление военно-политических, военно-технических и других мероприятий для расширения возможностей военной организации государства, сектора безопасности и обороны с использованием киберпространства, создания и развития сил, средств и инструментов возможного ответа на агрессию в киберпространстве, которая может применяться как средство сдерживания военных конфликтов и угроз с использованием киберпространства;

23) ограничения участия в мероприятиях по обеспечению информационной безопасности и кибербезопасности любых субъектов хозяйствования, находящихся под контролем государства, признанной Верховным Советом Украины государством-агрессором, или государств и лиц, в отношении которых действуют специальные экономические и другие ограничительные меры (санкции ), принятые на национальном или международном уровне вследствие агрессии в отношении Украины, а также ограничения использования продукции, технологий и услуг таких субъектов для обеспечения технической и криптографической защите государственных х информационных ресурсов, усиление государственного контроля в этой сфере;

24) развития системы контрразведывательного обеспечения кибербезопасности, предназначенной для предотвращения, своевременного выявления и противодействия внешним и внутренним угрозам безопасности Украины с использованием киберпространства; устранение условий, им способствующих, и причин их возникновения;

25) проведение разведывательных мероприятий по выявлению и противодействию угрозам национальной безопасности Украины в киберпространстве, выявления других событий и обстоятельств, касающихся сферы кибербезопасности.

4. Порядок функционирования Национальной телекоммуникационной сети, критерии, правила и требования о предоставлении услуг, их тарификации для пользователей бюджетной сферы, возмещение расходов государственного бюджета на содержание Национальной телекоммуникационной сети утверждаются Кабинетом Министров Украины.

5. Внедрение организационно-технической модели кибербезопасности как составляющей национальной системы кибербезопасности осуществляется Государственным центром киберзащиты, который обеспечивает создание и функционирование основных составляющих системы защищенного доступа государственных органов к сети Интернет, системы антивирусной защиты информационных ресурсов, аудита информационной безопасности и состояния киберзащиты объектов критической информационной инфраструктуры, системы обнаружения уязвимостей и реагирования на киберинциденты и кибератаки по о объектов киберзащиты, системы взаимодействия команд реагирования на компьютерные чрезвычайные события, а также во взаимодействии с другими субъектами обеспечения кибербезопасности разрабатывает сценарии реагирования на киберугрозы, меры по противодействию таким угрозам, программы и методики проведения кибернавчань.