Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта Закону України "Про основні засади забезпечення…
Інтелект-карта Закону України "Про основні засади забезпечення кібербезпеки України"
Субота Роман КБ-21
Стаття 1. Визначення термінів
У цьому Законі наведені нижче терміни вживаються в такому значенні
індикатори кіберзагроз - показники (технічні дані), що використовуються для
виявлення та реагування на кіберзагрози;
Інцидент кібербезпеки: об’єкти кіберзахисту атаковано, деякі успішно захищені та нейтралізовані за допомогою засобів кіберзахисту та індикаторів кіберзагроз.
Кіберінцидент: Несприятливі події чи потенційні кібератаки, загрожують безпеці електронних систем та інформації.
Кібератака: навмисні дії у кіберпросторі через електронні комунікації для порушення конфіденційності, цілісності, доступності інформації або несанкціонованого доступу, а також для завади роботі систем.
Кібербезпека: захист інтересів людини, суспільства і держави в кіберпросторі, забезпечення безпечного інформаційного суспільства через виявлення, запобігання та нейтралізацію загроз.
Кіберзагроза: явища та чинники, що загрожують національним інтересам України в кіберпросторі та погіршують стан кібербезпеки.
Кіберзахист: заходи для запобігання, виявлення та ліквідації кібератак та забезпечення надійності комунікаційних систем
Кіберзлочин (комп'ютерний злочин): небезпечне правопорушення в кіберпросторі, карантині за законами України та міжнародними угодами.
кіберзлочинність - сукупність кіберзлочинів
Кібероборона: заходи для захисту суверенітету та обороноздатності держави в кіберпросторі, включаючи політичні, економічні, військові та інші заходи.
Кіберпростір: віртуальне середовище для комунікації та суспільних відносин, утворене за допомогою комунікаційних систем та Інтернету.
кібертероризм - терористична діяльність, що здійснюється у кіберпросторі або з його використанням
критична інформаційна інфраструктура - сукупність об’єктів критичної інформаційної інфраструктури
кіберрозвідка - діяльність, що здійснюється розвідувальними органами у
кіберпросторі або з його використанням
Національна телекомунікаційна мережа: спеціальні телекомунікаційні системи для державних потреб, забезпечення захисту і обігу національних інформаційних ресурсів.
кібершпигунство - шпигунство, що здійснюється у кіберпросторі або з його використанням
Національні інформаційні ресурси: електронні дані, призначені для задоволення потреб громадян, суспільства та держави, незалежно від їх форми, місця і часу створення.
Національний центр резервування державних інформаційних ресурсів: система об'єктів для забезпечення безперебійної роботи та кіберзахисту національних державних інформаційних ресурсів, їх зберігання та резервного копіювання.
Об'єкт критичної інформаційної інфраструктури: комунікаційна або технологічна система, кібератака на яку може серйозно вплинути на стале функціонування цього об'єкта.
Система управління технологічними процесами: автоматизована або автоматична система обладнання та засобів, що призначена для організаційного та технологічного управління процесами незалежно від підключення до мережі Інтернет чи інших глобальних мереж.
Комунікаційні системи: ресурси та обладнання для передачі електронних комунікацій, включаючи мережі та пристрої зв'язку, комп'ютери, та іншу техніку, що працює з мережею Інтернет та/або іншими глобальними мережами передачі даних.
Активна протидія агресії у кіберпросторі: дії для нейтралізації кібератак та джерел кіберзагроз держави-агресора з метою захисту національної безпеки України.
Система активної протидії агресії у кіберпросторі: заходи, спрямовані на підвищення рівня кіберзахисту шляхом впливу на системи держави-агресора та джерела кіберзагроз.
Стаття 2. Принципи застосування Закону
Цей Закон не поширюється на
Комунікаційні системи, що не з'єднані з публічними мережами електронних комунікацій, і не підключені до Інтернету або інших глобальних мереж передачі даних (за винятком технологічних систем).
Функціонування соціальних мереж та приватних інтернет-ресурсів, якщо вони не містять інформацію, захист якої встановлений законом.
Діяльність, що забезпечує захист інформації, що є державною таємницею, та системи для її оброблення.
Відносини та послуги, пов’язані з обробкою, передачею та зберіганням інформації в комунікаційних та/або технологічних системах.
Застосування законодавства у сфері кібербезпеки та прийняття суб'єктами владних повноважень рішень на виконання норм цього Закону здійснюються з додерженням принципів:
Збалансованість вимог та відповідальності: забезпечення балансу між відповідальністю за порушення вимог кібербезпеки та кіберзахисту та уникненням надмірних обмежень
Прозорість: рішення суб’єктів владних повноважень повинні бути обґрунтованими та повідомленими суб’єктам, які їх стосуються, до їх застосування.
Еквівалентність вимог до кібербезпеки: правові норми мають однакове застосування для кіберзахисту об'єктів критичної інфраструктури в одному секторі економіки.
Забезпечення об'єктивності та правової визначеності за допомогою максимального застосування національного та міжнародного права щодо повноважень і обов'язків суб'єктів у сфері кібербезпеки
Забезпечення захисту прав користувачів комунікаційних систем та споживачів послуг електронних комунікацій, включаючи права на приватне життя і захист персональних даних.
Мінімально необхідне регулювання: необхідні та мінімально достатні заходи, що визначені законом для досягнення його мети та завдань.
Недискримінація: забезпечення того, що рішення, дії та бездіяльність суб'єктів владних повноважень не призводять до нерівних прав і обов'язків осіб
Такий же обсяг прав і обов'язків: якщо це не є необхідним і мінімально достатнім для задоволення загальносуспільного інтересу.
Відмінність в правах і обов'язках: якщо вона необхідна і мінімально достатня для задоволення загальносуспільного інтересу.
Стаття 3. Правові основи забезпечення кібербезпеки України
Правова основа кібербезпеки України: Конституція, закони про національну безпеку, політику, електронні комунікації, захист державної інформації, міжнародні договори, укази Президента, акти Кабінету Міністрів та інші нормативно-правові акти.
Міжнародний договір має перевагу.
Стаття 4. Об’єкти кібербезпеки та кіберзахисту
Порядок формування та утримання реєстру об'єктів критичної інформаційної інфраструктури затверджується Кабінетом Міністрів України.
Об’єктами кіберзахисту є
Комунікаційні системи усіх власностей, що обробляють національні інформаційні ресурси або використовуються органами державної влади, місцевого самоврядування, правоохоронними органами та військовими формуваннями.
об’єкти критичної інформаційної інфраструктури
Комунікаційні системи для суспільних потреб та правовідносин у сферах електронного урядування, державних послуг, електронної комерції та документообігу.
Об’єктами кібербезпеки є
суспільство, сталий розвиток інформаційного суспільства та цифрового
комунікативного середовища
держава, її конституційний лад, суверенітет, територіальна цілісність і
недоторканність
національні інтереси в усіх сферах життєдіяльності особи, суспільства та держави
об’єкти критичної інфраструктури
конституційні права і свободи людини і громадянина
Стаття 5. Суб’єкти забезпечення кібербезпеки
Президент України керує координацією кібербезпеки через Раду національної безпеки і оборони.
Національний координаційний центр кібербезпеки координує діяльність суб'єктів безпеки та оборони та вносить пропозиції щодо Стратегії кібербезпеки України Президентові.
Кабінет Міністрів України керує політикою кібербезпеки, захищає права та свободи в кіберпросторі, бореться з кіберзлочинністю та забезпечує функціонування національної системи кібербезпеки.
Суб’єктами, які безпосередньо здійснюють у межах своєї компетенції заходи із забезпечення кібербезпеки, є
Суб'єкти господарювання, громадяни, об'єднання громадян та інші особи, що провадять діяльність у сфері національних інформаційних ресурсів, електронних послуг, електронних правочинів, комунікацій і кіберзахисту.
Національний банк України
Збройні Сили України, інші військові формування, утворені відповідно до закону
органи місцевого самоврядування
місцеві державні адміністрації
правоохоронні, розвідувальні і контррозвідувальні органи, суб’єкти оперативнорозшукової діяльності
підприємства, установи та організації, віднесені до об’єктів критичної інфраструктури
міністерства та інші центральні органи виконавчої влади
Суб’єкти забезпечення кібербезпеки у межах своєї компетенції
здійснюють інші заходи із забезпечення розвитку та безпеки кіберпростору
забезпечують проведення аудиту інформаційної безпеки, у тому числі на
підпорядкованих об’єктах та об’єктах, що належать до сфери їх управління
розробляють і реалізують запобіжні, організаційні, освітні та інші заходи у сфері
кібербезпеки, кібероборони та кіберзахисту
здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз
здійснюють виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків
здійснюють заходи щодо запобігання використанню кіберпростору у воєнних,
розвідувально-підривних, терористичних та інших протиправних і злочинних цілях
Стаття 6. Об’єкти критичної інфраструктури
Віднесення об'єктів до критичної інфраструктури та формування Реєстру - за Законом "Про критичну інфраструктуру".
Обмін інформацією про кіберінциденти із персональними даними відбувається відповідно до Закону про захист персональних даних.
Відповідальність за кіберзахист об'єктів критичної інфраструктури покладається на їх власників або керівників, які зобов'язані забезпечити відповідність систем вимогам законодавства, інформувати CERT-UA про події кібербезпеки та організувати незалежний аудит інформаційної безпеки.
Норми з аудиту інформаційної безпеки на об'єктах критичної інфраструктури розробляються за міжнародними стандартами, залучаючи представників національної системи кібербезпеки, наукових установ, аудиторів та експертів у сфері кібербезпеки.
Критерії включення до критичної інфраструктури та вимоги до їх захисту - регулюються Кабінетом Міністрів України та Національним банком України для фінансових установ.
Стаття 7. Принципи забезпечення кібербезпеки
Забезпечення кібербезпеки в Україні ґрунтується на принципах:
Міжнародне співробітництво для довіри та протидії кіберзагрозам, включаючи розслідування кіберзлочинів та запобігання їм; протидія використанню кіберпростору в терористичних та інших протиправних цілях.
пріоритетності запобіжних заходів
Пропорційність та адекватність заходів кіберзахисту до ризиків; право на самозахист в кіберпросторі за міжнародним правом
відкритості, доступності, стабільності та захищеності кіберпростору, розвитку
мережі Інтернет та відповідальних дій у кіберпросторі
невідворотності покарання за вчинення кіберзлочинів
Забезпечення демократичного цивільного контролю над військовими та правоохоронними органами у сфері кібербезпеки.
Державно-приватна співпраця в кібербезпеці: обмін інформацією, наукові проекти, підвищення кваліфікації.
забезпечення національних інтересів України
верховенства права, законності, поваги до прав людини і основоположних свобод та
їх захисту в порядку, визначеному законом;
пріоритетного розвитку та підтримки вітчизняного наукового, науково-технічного
та виробничого потенціалу
Стаття 8. Національна система кібербезпеки
Національна система кібербезпеки - це комплексний набір заходів та суб'єктів, спрямованих на захист інформаційних ресурсів та об'єктів критичної інфраструктури.
Основні суб'єкти національної системи кібербезпеки України: Держспецзв'язок, Національна поліція, СБУ, Міноборони, Генштаб, розвідувальні органи, Національний банк.
Національний банк України встановлює правила та контролює кіберзахист банків та інших фінансових установ, включаючи платіжні системи, та забезпечує проведення аудиту інформаційної безпеки.
Розвідувальні органи здійснюють розвідку у кіберпросторі для виявлення загроз національній безпеці України.
МО та ГШ ЗСУ забезпечують кібероборону, співпрацюють з НАТО для захисту кіберпростору та критичної інфраструктури.
СБУ протидіє кіберзлочинності та кібертероризму, розслідує кіберінциденти та забезпечує реагування на них.
Нацполіція України захищає права, бореться з кіберзлочинами, та підвищує обізнаність громадян про кібербезпеку.
Держспецзв'язок України забезпечує захист у кіберпросторі, координує суб'єктів, створює національну телекомунікаційну мережу, виявляє кіберінциденти, проводить аудит та забезпечує функціонування центрів кіберзахисту.
Функціонування національної системи кібербезпеки забезпечується шляхом
Встановлення вимог інформаційної безпеки для об'єктів критичної інфраструктури з урахуванням міжнародних стандартів і галузевої специфіки.
Розвиток кіберпростору та відповідність стандартам ЄС і НАТО - основні цілі державної політики у сфері кібербезпеки.
формування конкурентного середовища у сфері електронних комунікацій, надання
послуг із захисту інформації та кіберзахисту
залучення експертного потенціалу наукових установ, професійних та громадських
об’єднань до підготовки проектів концептуальних документів у сфері кібербезпеки
Функціонування системи аудиту ІБ, впровадження світових практик та міжнародних стандартів у кібербезпеці.
розвитку та вдосконалення системи технічного і криптографічного захисту інформації
забезпечення дотримання вимог законодавства щодо захисту державних
інформаційних ресурсів та інформації
створення та забезпечення функціонування Національної телекомунікаційної мереж
обміну інформацією про інциденти кібербезпеки між суб’єктами забезпечення кібербезпеки у порядку, визначеному законодавством
Підготовка фахівців за державним замовленням для задоволення потреб державного сектору та за небюджетні кошти у сфері кібербезпеки, враховуючи міжнародні стандарти.
впровадження єдиної (універсальної) системи індикаторів кіберзагроз з урахуванням міжнародних стандартів з питань кібербезпеки та кіберзахисту
Впровадження організаційно-технічної моделі національної системи кібербезпеки для оперативного реагування на кібератаки та кіберінциденти, мінімізації вразливості комунікаційних систем.
встановлення вимог (правил, настанов) щодо безпечного використання мережі
Інтернет та надання електронних послуг державними органами
Державно-приватна співпраця у захисті об'єктів критичної інфраструктури від кіберзагроз, реагуванні на кібератаки та їх наслідки в умовах кризових ситуацій.
періодичного проведення огляду національної системи кібербезпеки, розроблення індикаторів стану кібербезпеки
Стратегічне планування та програмне забезпечення розвитку електронних комунікацій, ІТ, захисту інформації та кіберзахисту.
Розвиток міжнародного співробітництва у кібербезпеці, підтримка міжнародних ініціатив, співпраця з Європейським Союзом та НАТО для зміцнення кібербезпеки України та участь в заходах зі зміцнення довіри в кіберпросторі.
проведення навчань щодо дій у разі надзвичайних ситуацій та інцидентів у кіберпросторі
розвитку мережі команд реагування на комп’ютерні надзвичайні події
Створення нормативно-правової бази у кібербезпеці, гармонізація з міжнародними стандартами ЄС і НАТО.
Здійснення різних заходів (оперативних, розвідувальних, контррозвідувальних) для запобігання, виявлення та розкриття кіберзлочинів, тероризму та іншої шкідливої діяльності у кіберпросторі, спрямованої проти інтересів України.
Розвиток контррозвідувального забезпечення кібербезпеки для протидії зовнішнім та внутрішнім кіберзагрозам, усунення умов їх виникнення.
Заходи для розширення військових можливостей через кіберпростір для стримування конфліктів та агресії.
Обмеження участі суб'єктів господарювання під контролем держав-агресорів у заходах з кібербезпеки та обмеження використання їх продукції та послуг для захисту державних інформаційних ресурсів.
Розвідування загроз та інших подій у кіберпросторі для захисту національної безпеки України.
Правила та умови Національної телекомунікаційної мережі затверджує Кабінет Міністрів України.
Державний центр кіберзахисту впроваджує організаційно-технічну модель кібербезпеки, забезпечуючи захищений доступ до Інтернету для держорганів, антивірусний захист інформаційних ресурсів, аудит безпеки та кіберзахисту об'єктів, реагування на кіберінциденти та співпрацю з іншими суб'єктами захисту, включаючи навчання і сценарії реагування.
Національний центр резервування державних інформаційних ресурсів забезпечує
Забезпечення безперервності роботи національного електронного ресурсу через резервне копіювання в захищених центрах обробки даних.
Обов'язковий контроль за фізичною безпекою, управлінням і моніторингом інформаційних систем та організаційними заходами.
Переміщення резервних копій інформаційних ресурсів до закордонних дипломатичних установ України протягом воєнного стану та наступних шести місяців.
Стійке функціонування серверів, системи зберігання даних та мережевого обладнання з ефективним резервним копіюванням і дублюванням.
Розробка, створення, модернізація та супровід програмного забезпечення для реєстраційних систем.
Урядова команда реагування на комп’ютерні надзвичайні події України
CERT-UA
Завданнями CERT-UA є
накопичення та проведення аналізу даних про кіберінциденти, ведення державного
реєстру кіберінцидентів
надання власникам об’єктів кіберзахисту практичної допомоги з питань запобігання,
виявлення та усунення наслідків кіберінцидентів щодо цих об’єктів
організація та проведення практичних семінарів з питань кіберзахисту для суб’єктів
національної системи кібербезпеки та власників об’єктів кіберзахисту
підготовка та розміщення на своєму офіційному веб-сайті рекомендацій щодо
протидії сучасним видам кібератак та кіберзагроз
взаємодія з правоохоронними органами, забезпечення їх своєчасного інформування
про кібератаки
взаємодія з іноземними та міжнародними організаціями з питань реагування на кіберінциденти, зокрема в рамках участі у Форумі команд реагування на інцедент безпеки FIRST із сплатою щорічних членських внесків.
Взаємодія з українськими командами реагування на кіберподії та іншими структурами, незалежно від власності, для забезпечення кібербезпеки.
опрацювання отриманої від громадян інформації про кіберінциденти щодо об’єктів кіберзахисту
Підтримка державних, місцевих органів, військових формувань та інших організацій у забезпеченні кібербезпеки та протидії кіберзагрозам
Держслужба забезпечує CERT-UA.
Стаття 10. Державно-приватна взаємодія у сфері кібербезпеки
Державно-приватна взаємодія у кібербезпеці з урахуванням законодавчих особливостей.
Державно-приватна взаємодія у сфері кібербезпеки здійснюється шляхом
надання консультативної та практичної допомоги з питань реагування на кібератаки
запровадження механізму громадського контролю ефективності заходів із
забезпечення кібербезпеки
Створення консультаційних центрів щодо інтернет-безпеки.
Національний саміт з професіоналами бізнес-послуг для управління ризиками кібербезпеки.
створення системи підготовки кадрів та підвищення компетентності фахівців
різних сфер діяльності з питань кібербезпеки
Залучення експертів для розробки кібербезпеки.
Обмін інформацією про кіберзагрози між державними органами, приватним сектором і громадянами.
Підвищення цифрової грамотності та культури безпекового поводження в кіберпросторі.
створення системи своєчасного виявлення, запобігання та нейтралізації кіберзагроз,
у тому числі із залученням волонтерських організацій
партнерства та координації команд реагування на комп’ютерні надзвичайні події
тісної взаємодії з фізичними особами, громадськими та волонтерськими
організаціями, ІТ-компаніями з метою виконання заходів кібероборони в кіберпросторі
Стаття 11. Сприяння суб’єктам забезпечення кібербезпеки України
Усі органи, підприємства та громадяни зобов'язані сприяти забезпеченню кібербезпеки, повідомляти про загрози та протидіяти кіберзлочинам.
Стаття 12. Відповідальність за порушення законодавства у сфері кібербезпеки
Особи, які порушують закон у сферах національної безпеки та електронних комунікацій, відповідають за свої дії перед законом.
Стаття 13. Фінансове забезпечення заходів кібербезпеки
Джерела фінансування кібербезпеки: бюджетні кошти, власні кошти підприємств, кредити, міжнародна технічна допомога та інші легальні джерела.
Стаття 14. Міжнародне співробітництво у сфері кібербезпеки
Україна співпрацює у сфері кібербезпеки з іноземними державами, їх правоохоронними органами і міжнародними організаціями, які борються з кіберзлочинністю.
Україна може брати участь у спільних заходах з кібербезпеки в рамках міжнародних договорів з дотриманням внутрішніх законів.
Суб’єкти кібербезпеки можуть співпрацювати з іншими країнами у сфері кібербезпеки згідно з українським законодавством.
Україна може надавати інформацію про міжнародну кіберзлочинність іншим країнам згідно зі своїм законодавством та міжнародними зобов'язаннями, якщо це не перешкоджає розслідуванню чи судовому процесу і сприяє припиненню кібератаки.
Стаття 15. Контроль за законністю заходів із забезпечення кібербезпеки України
Щорічний незалежний аудит основних суб'єктів національної кібербезпеки проводиться щороку згідно з міжнародними стандартами аудиту для оцінки ефективності системи забезпечення кібербезпеки держави.
Цей Закон набирає чинності через шість місяців з дня його опублікування
Контроль за дотриманням законодавства у сфері кібербезпеки здійснюється Верховною Радою України. Парламентський контроль за законодавством про захист персональних даних та доступ до публічної інформації у цій сфері покладено на Уповноваженого Верховної Ради України з прав людини.
Контроль за діяльністю з забезпечення кібербезпеки суб'єктів сектору безпеки і оборони, інших державних органів здійснюється Президентом України та Кабінетом Міністрів України відповідно до Конституції та законів України.