Презентація з лекції партнера Астерс Юрія Котлярова та офіцера з інформаційної безпеки Астерс Олександра Макаревича у Правничій школі ЕВА-Астерс 23 жовтня 2018 р.
Огляд нового закону про ТОВ: нові можливості та виклики
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
1. Програма з правового розвитку EBA-Asters
(Правнича школа)
Модуль 2:
Виконання вимог законодавства у
сфері кіберзахисту для об`єктів
критичної інфраструктури. Поняття
кібербезпеки: концепції та
принципи побудови
23 жовтня 2018 р., 18:30
Спікери:
Юрій Котляров, партнер Asters
Олександр Макаревич, офіцер з
інформаційної безпеки Asters
2. Тенденції розвитку кібербезпеки в Україні:
регуляторні ініціативи
23 жовтня 2018 р., Київ
Юрій Котляров
партнер, Asters досягаємо зірок для наших клієнтів
3. РЕГУЛЯТОРНІ ІНІЦІАТИВИ ЄС
3
Директива про
європейські
критичні
інфраструктури і
заходи щодо їх
захисту, 2008
Стратегія
кібербезпеки
ЄС, 2013
Стратегія
єдиного
цифрового
ринку, 2015
Директива
мережевої та
інформаційно
ї безпеки
(NIS), 2015
Заява
Єврокомісії
на предмет
зміцнення системи
Cyber Resilience в
Європі та сприяння
розвитку
конкурентоспромо
жної та
інноваційної галузі
кібербезпеки, 2016
Рішення
Єврокомісії
щодо створення
договірного
державно-
приватного
партнерства з
кібербезпеки, 2016
4. • перший стратегічний документ в ЄС у сфері кібербезпеки
• основне гасло документа «відкритий і безпечний кіберпростір»
• стратегічне завдання документа- досягти безперебійної і стійкої до
зовнішніх загроз і кібератак кіберсистеми ЄС
На даний момент ЄС переглядає стратегію в області кібербезпеки,
така робота проводиться в координації з НАТО. Планується, що нова
стратегія Євросоюзу з кібербезпеки буде включати практичну
допомогу Україні в цій сфері.
За словами єврокомісара з євро і соціального діалогу Валдіса
Домбровскіса "ЄС повністю підтримує зусилля України щодо
проведення реформ". "Співпраця між ЄС і Україною сильніше, ніж будь-
коли з безвізовим режимом, торговими зв'язками і угодою про
асоціацію", - зазначив Домбровскіс.
СТРАТЕГІЯ КІБЕРБЕЗПЕКИ ЄС, 2013
4
5. • DSM Strategy - закріплює за Європою лідируючу позицію в розвитку
цифрової економіки
• основна мета документа - «довіра та безпека», створення
сприятливого середовища для розвитку цифрової економіки
• стратегія визначила, що кіберзагрози є серйозною проблемою і
чинять негативний вплив на розвиток цифрової економіки країн-
учасниць Євросоюзу, у зв'язку з чим необхідно проводити заходи
для збільшення рівня довіри громадян ЄС щодо цифрових платформ
і цифрової економіки в цілому.
Станом на 2015 р. тільки 22% європейців повністю довіряли
пошуковим системам, соціальним мережам, службам електронної
пошти. 72% користувачів Інтернету були стурбовані тим, що у
них запитують занадто багато особистих даних в Інтернеті.
СТРАТЕГІЯ ЄДИНОГО ЦИФРОВОГО РИНКУ, 2015
5
6. ДИРЕКТИВА МЕРЕЖЕВОЇ ТА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ,2015
• Директива NIS,2015
• Метою Директиви є гарантування високого загального рівня безпеки
мережевих та інформаційних систем в рамках ЄС.
• Єврокомісія зобов'язала держав-учасниць імплементувати вимоги
Директиви в національне законодавство в термін до 09 травня 2018р.,
але станом на сьогодні:
імплементували лише 14 держав-учасниць : Cловакія, Італія, Іспанія,
Данія, Німеччина, Естонія, Португалія, Словенія, Кіпр, Чехія, Швеція,
Хорватія, Фінляндія, Великобританія
частково завершили процес 3 держави-учасниці: Франція, Литва,
Угорщина.
в процесі імплементації 11 держав-учасниць : Греція, Нідерланди,
Латвія, Польща, Австрія, Румунію, Ірландія, Люксембург, Болгарія,
Мальта, Бельгія.
6
7. ДИРЕКТИВА NIS
Вимоги до держав-учасниць ЄС:
•уряд кожної держави-учасниці зобовязаний створити власний центр реагування на інциденти,
пов'язані з комп'ютерною безпекою (CERT);
•уряд має гарантувати мінімальний рівень можливостей і засобів для забезпечення інформаційної
безпеки на національному рівні
•затвердження стратегії в галузі мережевої та інформаційної безпеки
•заснування одного або декілька національних уповноважених органів для відстеження реалізації
NIS на своїй території
•створення єдиної національної точки контакту «contact point» з питання безпеки мереж та
інформаційних мереж для встановлення і підтримки зв'язку між державами-учасниками
•створення однієї або декількох груп CSIRT
•ідентифікація організацій, які підпадають під визначення оператора життєво важливих послуг.
Для боротьби з погрозами і інцидентами в області кібербезпеки та з метою обміну інформацією між
учасниками, Директива вимагає організувати групу взаємодії з представників держав-учасниць,
Комісії, Європейського агентства з мережевої та національної безпеки (ENISA), мережі національних
груп CSIRT
Крім того, згідно з Директивою, в Євросоюзі буде створено єдиний координаційний центр з
інформаційної безпеки, який буде служити майданчиком для взаємодії країн-учасниць Євросоюзу.
7
8. ДИРЕКТИВА NIS
Вимоги до компаній:
•компанії-володільці/власники інтернет-пошукових систем, маркетплейсів, хмарних
сховищ (наприклад, Google, Microsoft, Apple, Amazon)
•інтернет-провайдери
•реєстратори доменних імен
•кредитні і фінансові організації
•медичні установи
•нафтогазові компанії
•комунальні під-ва, включаючи електричні мережі і водопостачання
•транспортні компанії ( всі види транспорту)
зобов'язані вживати відповідних заходів безпеки і повідомляти уряд про будь-які
інциденти, пов'язані з інформаційною безпекою.
8
9. ДИРЕКТИВА NIS
Вимоги до операторів життєво важливих послуг:
Директива накладає певні зобов'язання як на державних, так і на приватних "операторів життєво
важливих послуг".
Ці послуги включають енергетику, транспорт, банківське обслуговування, інфраструктуру фінансових
ринків, охорону здоров'я, подачу і розподіл питної води, цифрову інфраструктуру.
Якщо оператор життєво важливих послуг підпадає під дію Директиви, то він повинен:
- вжити адекватних і пропорційних технічних та організаційних заходів з управління ризиками;
- виконати вимоги схем звітності, які будуть встановлені державою-учасницею;
- повідомляти уповноважений національний орган або групу CSIRT про інциденти, пов'язані з
інформаційною безпекою
Зверніть увагу! Телеком компанії виключені з-під дії Директиви NIS
Оператори життєво важливих послуг зобов'язані надавати відповідному національному
уповноваженому органу докази того, що він дотримується вимог Директиви.
9
10. ДИРЕКТИВА NIS
Вимоги до провайдерів цифрових послуг
Будь-яка юридична особа, яка надає "цифрову" послугу відповідного типу є "провайдером цифрових
послуг».
До провайдерів цифрових послуг відносяться:
- інтернет-магазини і біржі;
- інтернет-пошуковики;
-сервіси хмарних обчислень
Якщо провайдер цифрових послуг підпадає під дію Директиви, то він повинен:
- вжити адекватних і пропорційних технічних та організаційних заходів з управління ризиками;
-здійснювати управління інцидентами;
-здійснювати управління безперервністю бізнесу;
- здійснювати моніторинг, аудит та тестування;
- дотримуватися міжнародних стандартів
- виконувати вимоги схем звітності, які будуть встановлені державою-учасницею;
- повідомляти уповноважений орган або групу CSIRT про інциденти
Провайдер цифрових послуг, на відміну від оператора життєво важливих послуг, не зобов'язаний
надавати відповідному національному уповноваженому органу докази того, що він дотримується
вимог Директиви.
10
11. Основна ідея документа - закласти основу для розвитку державно-приватного партнерства в сфері
кібербезпеки.
Рішення Єврокомісії щодо створення договірного державно-приватного партнерства з
кібербезпеки, 2016/Communication on Strengthening Europe's Cyber Resilience System
and Fostering a Competitive and Innovative Cybersecurity Industry, European Comission
Основна ідея документа: «об'єднання заради попередження і боротьби з кіберінцидентами»,
«нарощування потужностей у сфері кібербезпеки». Крім того, документ містить короткий опис
«викликів», з якими зіткнулася Європа в сфері кібербезпеки.
Заява Єврокомісії на предмет зміцнення системи Cyber Resilience в Європі та сприяння
розвитку конкурентоспроможної та інноваційної галузі кібербезпеки, 2016/Commission
Decision to establish a contractual public private partnership on cybersecurity
11
ІНШІ ІНІЦІАТИВИ
12. ДИРЕКТИВА
про європейські критичні інфраструктури і заходи щодо їх захисту, 2008
• містить визначення понять «критичної інфраструктури», «захисту критичної
інфраструктури», «власника/оператора критичної інфраструктури» та ін.
• покладає на операторів / власників критичної інфраструктури зобов'язання по
розробці і впровадженню так званого "плану безпеки об'єкта критичної
інфраструктури»
• вводить нову штатну одиницю на об'єктах критичної інфраструктури -
відповідальну особу за безпеку такого об'єкта, яка буде контактною особою між
оператором / власником об'єкта критичної інфраструктури та відповідним
уповноваженим органом держави
• застосовується виключно щодо забезпечення фізичного захисту критичної
інфраструктури
• зобовязує операторів/власників критичної інфраструктури вжиті всі необхідні
заходи для забезпечення безпечного функціонування об'єкту критичної
інфраструктури
12
14. Витяг з документу:
Основні напрями державної політики національної безпеки України:
4.12. Забезпечення кібербезпеки і безпеки інформаційних ресурсів
Пріоритетами забезпечення кібербезпеки і безпеки інформаційних ресурсів є:
•розвиток інформаційної інфраструктури держави;
•створення системи забезпечення кібербезпеки, розвиток мережі реагування на комп'ютерні надзвичайні події (CERT);
•моніторинг кіберпростору з метою своєчасного виявлення, запобігання кіберзагрозам і їх нейтралізації;
•забезпечення захищеності об'єктів критичної інфраструктури, державних інформаційних ресурсів від кібератак,
відмова від програмного забезпечення, зокрема антивірусного, розробленого у Російській Федерації;
•розвиток міжнародного співробітництва у сфері забезпечення кібербезпеки, інтенсифікація співпраці України та НАТО,
зокрема в межах Трастового фонду НАТО для посилення спроможностей України у сфері кібербезпеки та ін.
4.13. Забезпечення безпеки критичної інфраструктури
Пріоритетами забезпечення безпеки критичної інфраструктури є:
•комплексне вдосконалення правової основи захисту критичної інфраструктури, створення системи державного
управління її безпекою;
•посилення охорони об'єктів критичної інфраструктури, зокрема енергетичної і транспортної;
•налагодження співробітництва між суб'єктами захисту критичної інфраструктури, розвиток державно-приватного
партнерства у сфері запобігання надзвичайним ситуаціям та реагування на них;
•розробка та запровадження механізмів обміну інформацією між державними органами, приватним сектором і населенням
стосовно загроз критичній інфраструктурі та захисту чутливої інформації у цій сфері;
•профілактика техногенних аварій та оперативне і адекватне реагування на них, локалізація і мінімізація їх наслідків;
розвиток міжнародного співробітництва у цій сфері.
Стратегія національної безпеки України, 2015
14
15. Мета Стратегії - створити умови для безпечного функціонування кіберпростору, його використання в
інтересах особистості, суспільства і держави.
Стратегія передбачає комплекс заходів, пріоритетів і напрямів забезпечення кібербезпеки України:
• створення і оперативну адаптацію державної політики, спрямованої на розвиток кіберпростору і
досягнення сумісності з відповідними стандартами ЄС і НАТО;
• формування конкурентного середовища в сфері електронних комунікацій, надання послуг із
захисту інформації та кіберзахисту;
• залучення експертного потенціалу наукових установ, професійних і громадських об'єднань до
підготовки проектів концептуальних документів у цій сфері;
• підвищення цифрової грамотності громадян і культури безпечної поведінки в кіберпросторі;
• розвиток міжнародного співробітництва та підтримку міжнародних ініціатив у сфері кібербезпеки,
в тому числі поглиблення співробітництва України з ЄС та НАТО.
Стратегія кібербезпеки України, 2016
15
16. • встановлює загальні положення і декларує основні аспекти сфери кібербезпеки в Україні;
• визначає об’єкти кібербезпеки та кіберзахисту;
• визначає об'єкти критичної інфраструктури як об'єкти кібербезпеки та кіберзахисту
• визначає суб'єкти захисту кібербезпеки і їх повноваження;
• передбачає державно-приватну взаємодію в сфері кібербезпеки;
• створює Національний координаційний центр кібербезпеки як робочий орган Ради національної
безпеки і оборони України, який здійснює координацію і контроль за діяльністю суб'єктів
сектора безпеки і оборони, які забезпечують кібербезпеку, вносить Президенту України
пропозиції щодо формування і уточнення Стратегії кібербезпеки України;
• визначає основних субєктів національної системи кібербезпеки, серед яких : Державна служба
спеціального зв’язку та захисту інформації України, Національна поліція України, Служба
безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України,
розвідувальні органи, Національний банк України.
Закон України "Про основні засади забезпечення кібербезпеки
України«, 5 жовтня 2017р.
16
17. Метою Концепції є визначення основних напрямків, механізмів і термінів комплексного правового
врегулювання питання захисту критичної інфраструктури і створення системи державного
управління в сфері захисту критичної інфраструктури.
Реалізація Концепції розрахована на десятирічний термін (з 2017 по 2027 роки) і передбачає
короткострокові, середньострокові, довгострокові завдання.
Категоризація об'єктів інфраструктури, що належать до державної системи захисту критичної
інфраструктури:
- критично важливі об'єкти, які мають загальнодержавне значення, широкі зв'язки і значний вплив
на іншу інфраструктуру;
- життєво важливі об'єкти, порушення функціонування яких призведе до кризової ситуації
регіонального значення;
- важливі об'єкти, пріоритетом захисту яких є забезпечення швидкого відновлення функцій шляхом
диверсифікації і залучення резервів;
- необхідні об'єкти, які не відноситься до критичної інфраструктури.
КОНЦЕПЦІЯ
створення державної системи захисту критичної інфраструктури,
06 грудня 2017
17
18. ПРОЕКТИ НПА
18
проект постанови Кабінету Міністрів
України «Про затвердження Вимог
щодо проведення незалежного
аудиту інформаційної безпеки на
об’єктах критичної інфраструктури
та Порядку проведення
незалежного аудиту інформаційної
безпеки на об’єктах критичної
інфраструктури», розробляється
Держспецзвязку
проекту постанови Кабінету Міністрів
України «Про затвердження Вимог
щодо проведення незалежного аудиту
інформаційної безпеки на об’єктах
критичної інфраструктури та Порядку
проведення незалежного аудиту
інформаційної безпеки на об’єктах
критичної інфраструктури»,
розробляється Держспецзвязку
проекту постанови Кабінету
Міністрів України «Про
затвердження порядків
формування переліку об’єктів
критичної інформаційної
інфраструктури, внесення об’єктів
критичної інформаційної
інфраструктури до державного
реєстру об’єктів критичної
інформаційної інфраструктури,
його формування та забезпечення
функціонування», розробляється
Держспецзвязку
проекту постанови Кабінету Міністрів
України «Про затвердження Загальних
вимог з кіберзахисту об’єктів критичної
інфраструктури, критеріїв та порядку
віднесення об’єктів до об’єктів
критичної інфраструктури»,
розробляється Держспецзвязку
Проект Закону України «Про
захист критичної
інфраструктури»,
розробляється
Мінекономрозвитку України
Проект Закону України «Про
внесення змін до ЗУ «Про
державно-приватне
партнерство»
З проектами НПА, розробленими Держспецзвязку можна ознайомитись за посиланням:
http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/category?cat_id=38837
З проектом НПА, розробленим Мінекономрозвитку можна ознайомитись за посиланням:
http://www.me.gov.ua/Documents/Detail?lang=uk-UA&id=2c50c7c7-6d26-4c10-a80a-
708a3bfcff1b&title=PovidomlenniaProOpriliudnenniaProektuZakonuUkrainiproKritichnuInfrastrukturuTaYiiZakhist
19. ЗАВЖДИ НА ЗВ'ЯЗКУ!
Юрій Котляров
партнер Asters
керівник практики ТМТ
Бізнес-центр "Леонардо", 14 пов.
вул. Богдана Хмельницького, 19-21
Київ 01030, Україна
Тел. +380 44 230 6000
Email: yuriy.kotliarov@asterslaw.com
Website: www.asterslaw.com
19
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30. Дякуємо за увагу!
Будемо раді відповісти на будь-які Ваші питання – наші
контакти:
Бізнес-центр "Леонардо", 14 пов.
вул. Богдана Хмельницького, 19-
21
Київ 01030, Україна
Тел. +380 44 230 6000
Email: info@asterslaw.com