Государственная политика и нормативно-законодательная база Украины в сфере информационной и кибербезопасности
Изначально вопросы обеспечения информационной безопасности в нормативно-правовых актах Украины обозначались в принятых в 1990-х гг. законах «
Об информации» и «
О защите информации в информационно-телекоммуникационных системах», но они либо носили общий характер, либо локализировали требования к защите доступа к информационным системам на ведомственном уровне. Опосредованное отношение к формированию государственной политики информационной безопасности имела ратификация Украиной в 2005 г. «Конвенции о киберпреступности (ETS N185)». Согласно принятому
закону о ратификации Конвенции, Министерство внутренних дел назначалось органом государственной власти уполномоченным расследовать преступления связанные с компьютерными системами и данными.
Общие подходы государственной политики в сфере информационной безопасности впервые были обозначены с принятием в июле 2009 г. во исполнение решения Совета национальной безопасности и обороны Украины от 21 марта 2008 г. («О неотложных мерах по обеспечению информационной безопасности Украины») «Доктрины информационной безопасности Украины», утвержденной
указом Президента Украины от 8 июля 2009 г. № 514. Доктрина определяла национальные интересы в информационной сфере, цель, задания, принципы и механизмы формирования и реализации государственной информационной политики.
В ходе коренного изменения внутриполитического ландшафта после смены власти на Украине после «Революції Гідності» в 2014 году пересмотру подверглись прежние подходы к национальной безопасности и нормативно-правовая база. Как
отмечалось провластными украинскими экспертами, существенным недостатком прежней системы кибербезопасности Украины было то, что при ее создании украинских специалистов наряду с экспертами из ЕС, НАТО и Турции консультировали российские специалисты, ввиду чего защита киберпространства, разработанная совместно с главным источником угрозы, не могла быть эффективной и выполнить свое истинное предназначение. В числе прочих нормативных актов, признанных несоответствующими новым направлениям национальной политики Украины в сфере безопасности, в июне 2014 г. был отменен и
Указ Президента Украины от 8 июля 2009 г. № 514, которым была утверждена «Доктрина информационной безопасности».
С учетом ориентированности государственной политики Украины в сфере информационной безопасности на ее соответствие курсу на европейскую интеграцию формирование и совершенствование соответствующей нормативно-правовой базы велось в соответствии с планом мероприятий по имплементации Соглашения об ассоциации между Украиной и ЕС на 2014–2017 гг. с целью приближения законодательства Украины к законодательству ЕС. В частности,
обеспечивалась интеграция в украинскую нормативно-правовую базу некоторых актов законодательства ЕС в сфере телекоммуникаций — по направлениям «Реализация европейской политики в сфере аудита информационный безопасности (кибербезопасности)» и «Приближение политики технического регулирования Украины к законодательству ЕС относительно доступа радиооборудования и телекоммуникационного терминального оборудования на национальный рынок». Принцип соответствия нормативно-правовых актов законодательству ЕС ставился в приоритет и при разработке всех законов и подзаконных актов в сфере информационной безопасности принимавшихся после 2014 г.
Новая Доктрина информационной безопасности Украины была принята решением Совета национальной безопасности и обороны Украины от 29 декабря 2016 г. (утверждено президентским
указом от 25 февраля 2017 г. №47/2017). Новая Доктрина
определяет национальные интересы в информационной сфере, цель, задания, принципы и механизмы формирования и реализации государственной информационной политики с учетом новых приоритетов внутренней и внешней государственной политики — как декларировалось, с учетом «инновационных подходов к формированию системы защиты и развития информационного пространства Украины в условиях глобализации свободного обращения информации». В числе приоритетных направлений государственной политики в Доктрине
отмечались создание и развитие структур ответственных за информационно-психологическую безопасность, обеспечение стандартизации и унификации программно-аппаратных решений для нужд государства, развитие технологической инфраструктуры обеспечения информационной безопасности Украины и ее защита «прежде всего от террористических и диверсионных посягательств».
Приоритетность обеспечения кибербезопасности объектов критической информационной инфраструктуры отмечена и в новой редакции «Военной доктрины Украины», принятой Советом национальной безопасности и обороны Украины 2 сентября 2015 г. и утвержденной
президентским указом 24 сентября 2015 г.
В марте 2016 г. решением Совета национальной безопасности и обороны Украины от 27 января 2016 г., утвержденным
президентским указом от 15 марта 2016 г. № 96/2016, была принята «Стратегия кибербезопасности Украины» (
Стратегія кібербезпеки України), обозначившая приоритетные направления развития национального потенциала и компетенций в данной сфере. В числе ключевых задач Стратегией
обозначались развитие безопасного и надежного киберпространства, создание национальной системы кибербезопасности, в том числе с привлечением общественных организаций и организаций частного сектора, выработка государственной политики и нормативно-правовой базы в сфере кибербезопасности, достижение совместимости с соответствующими стандартами ЕС и НАТО, обеспечение киберзащиты государственной информационной инфраструктуры и объектов критической инфраструктуры, создание системы подготовки кадров в сфере кибербезопасности, развитие возможностей правоохранительных органов по борьбе с киберпреступностью, развитие международного сотрудничества в сфере кибербезопасности. Стратегия также
декларировала и цель — создание «активной киберзащиты», подразумевающей реализацию политических, технических и других мероприятий, обеспечивающих расширение возможностей государства для предотвращения и отражения угроз в киберпространстве.
Для реализации положений Стратегии кибербезопасности принимались ежегодные планы мероприятий, конкретизирующие рубежные сроки воплощения целевых показателей.
Основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия и обязанности государственных органов в данной сфере также регламентируются
Законом Украины от 05.10.2017 г. №2163-VIII «Об основных принципах обеспечения кибербезопасности Украины» (вступил в силу 9 мая 2018 г.). В своих основных положениях Закон «Об основных принципах обеспечения кибербезопасности Украины» в определенной степени дублировал положения «Стратегии кибербезопасности Украины», но в нем получили определенную конкретизацию приоритетные вопросы в данной сфере. При этом данный закон не регламентирует сферу защиты информации составляющей государственную тайну, а также информации в социальных сетях и частных электронных ресурсах в сети интернет.
Законом «Об основных принципах обеспечения кибербезопасности Украины» определены правовые и организационные основы защиты жизненно важных интересов человека и гражданина, общества и государства, национальных интересов Украины в киберпространстве, регламентированы положения о национальной системе кибербезопасности, ее основополагающих субъектах, их полномочия и основные принципы координации деятельности по обеспечению кибербезопасности. Отдельно законом обозначено внедрение в нормативно-правовой сфере лучших европейских и мировых практик и стандартов. В данной связи необходимо отметить, что в своих основных положениях закон «Об основных принципах обеспечения кибербезопасности Украины» разрабатывался и принимался с учетом его соответствия
Директиве ЕС 2016/1148 по безопасности сети и информационных систем в Европейском Союзе.
Также
законом №2163-VIII определены основные субъекты национальной системы кибербезопасности: Совет национальной безопасности и обороны Украины и его рабочий орган — Национальный координационный центр кибербезопасности, Госспецсвязи Украины, Национальная полиция, Служба безопасности Украины, Министерство обороны и Генштаб ВС Украины, разведывательные органы, Национальный банк Украины — их функции и сферы ответственности. Отдельно
оговаривались полномочия и функции непосредственного обеспечения защиты государственных информационно-телекоммуникационных ресурсов и систем (предупреждение кибератак и ликвидация их последствий) входящей в структуру Госспецсвязи Украины национальной Команды реагирования на чрезвычайные ситуации в сфере кибербезопасности — CERT.UA (
Команда реагування на комп'ютерні надзвичайні події України / Computer Emergency Response Team of Ukraine).
Важное значение
законом №2163-VIII придается кибербезопасности информационных ресурсов критической инфраструктуры Украины, к которой относят госучреждения, организации в сфере энергетики, электро-, газо-, водоснабжения, химическую промышленность, сельское хозяйство, пищевую промышленность, здравоохранение, транспорт, связь и электронные коммуникации, коммунальное хозяйство, системы жизнеобеспечения, экстренные и аварийные службы, информационно-коммуникационные технологии, финансовую и банковскую сферы, промышленно опасные производства, а также организации имеющие стратегическое значение для экономики и безопасности. При этом
законом определена непосредственная ответственность владельцев объектов информационной инфраструктуры за их киберзащищенность.
Порядок формирования перечня информационно-телекоммуникационных систем объектов критической инфраструктуры Украины был утвержден в 2016 г.
постановлением Правительства Украины от 23 августа 2016 г. №563. С принятием в июне 2019 г.
постановления Правительства Украины от 19 июня 2019 г. №518 были утверждены общие требования к киберзащите объектов критической инфраструктуры.
По оценкам украинских экспертов со ссылкой на данные Антитеррористического центра СБУ, на начало 2019 г. к объектам критической инфраструктуры относилось 1598 организаций и компаний.
В числе приоритетов государственной политики Украины в сфере информационной и кибербезопасности,
Законом № 2163-VIII также определено развитие государственно-частного взаимодействия, в том числе с привлечением к сотрудничеству общественных и волонтерских организаций, а также повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве.
С учетом декларируемой украинскими властями реорганизации нормативно-правовой базы для соответствия европейским стандартам продолжается поступательное совершенствование действующих законодательных актов и программных документов в сфере информационной и кибербезопасности. В декабре 2019 г. по итогам парламентских слушаний, проводившихся комитетом по вопросам цифровой трансформации Верховной Рады Украины, была инициирована разработка
новой «Стратегии кибербезопасности Украины» на период 2020–2025 гг. Также профильными комитетами Рады рассматривался вопрос о разработке
новых законопроектов «О кибербезопасности» и «О защите объектов критической инфраструктуры».
Помимо собственно законодательных актов, отдельные механизмы регулирования вопросов кибербезопасности также вводились непосредственно решениями Совета национальной безопасности и обороны Украины, утверждавшимися президентскими указами.
Первым таким директивным документом стало решение СНБО от 29 декабря 2016 г. «Об угрозах кибербезопасности государства и неотложных меры по их нейтрализации», утвержденное в феврале 2017 г.
президентским указом №32/2017. Основной акцент в решении
ставился на дополнительных мерах защиты информационной инфраструктуры, разграничении полномочий госведомств, развитии в рамках государственно-частного партнерства механизма привлечения физических и юридических лиц на условиях аутсорсинга к выполнению задач кибернетической защиты государственных электронных информационных ресурсов, а также
на усиление контроля над интернет-трафиком и пользователями (в части предписаний владельцам компьютерных данных о фиксировании и хранении компьютерных данных, необходимых для раскрытия преступления (на срок до 90 дней с возможностью продления этого срока до 3 лет), истребования у операторов и провайдеров информации для идентификации пользователей и маршрута передачи информации).
Следующим рубежным решением СНБО стал принятый 7 декабря 2019 г. план неотложных мероприятий в сфере кибербезопасности, утвержденный
президентским указом «О неотложных мерах по усилению возможностей государства в сфере кибербезопасности» от 20 декабря 2019 г. №923/2019. В основу был положен
план реформ в сфере кибербезопасности, разработанный организованной в августе 2019 г. СНБО рабочей группой.
В числе приоритетов была необходимость выработки комплексного пакета изменений в законодательство с применением лучших практик США и стран ЕС, активизация государственно-частного партнерства и привлечения потенциала частного бизнеса, а также, вероятно, и предусматривавшиеся разработанным рабочей группой СНБО планом реформ,
меры по усилению контроля за информационным пространством.
В мае 2020 г. на 14-ом заседании Национального координационного центра кибербезопасности при Совете национальной безопасности и обороны Украины (СНБО Украины) было
анонсировано начало реализации СНБО разработанного дополнительного комплекса мероприятий по повышению национальной кибербезопасности — включающих повышение защищенности национальных электронных информационных ресурсов, усиление защиты персональных данных граждан, а также повышение эффективности взаимодействия между субъектами обеспечения кибербезопасности и совершенствование нормативно-правовой базы.