Лист №109 від 01.07.2015 щодо Проекту Закону про основні засади забезпечення кібербезпеки України (2126а від 19.06.2015)

01.07.2015
Відправник: 
ІнАУ, Інтернет Асоціація України

Першому заступнику голови Комітету Верховної Ради України з питань інформатизації та зв'язку

ЛУК'ЯНЧУКУ Р.В.

 

Копії: Голові Комітету Верховної Ради України з питань законодавчого забезпечення правоохоронної діяльності

КОЖЕМ'ЯКІНУ А.А.

Голові підкомітету з питань боротьби з організованою злочинністю Комітету Верховної Ради України з питань законодавчого забезпечення правоохоронної діяльності
БУХАРЄВУ В.В. Голові Комітету Верховної Ради України з питань запобігання і протидії корупції
ПАЛАМАРЧУКУ М.П. Голові підкомітету з питань діяльності органів внутрішніх справ, податкової міліції та інших правоохоронних органів Комітету Верховної Ради України з питань законодавчого забезпечення правоохоронної діяльності
КОРОЛЮ В.М.

Члену Комітету Верховної Ради України з питань інформатизації та зв'язку
СЕМЕНУ
СІ Р.С.

Секретарю Комітету Верховної Ради України з питань фінансової політики і банківської діяльності
ПОЛЯКОВУ М.А.

Члену Комітету Верховної Ради України з питань інформатизації та зв'язку
БАБЕНКУ В.Б.

Голові підкомітету з питань державної інформаційної політики та інформаційної безпеки Комітету Верховної Ради України з питань свободи слова та інформаційної політики
СО
ЧЦІ О.О.

Вих. №109

від 01 липня 2015 р.

 

Щодо Проекту Закону про основні засади забезпечення кібербезпеки України (2126а від 19.06.2015)

 

Шановний Руслане Валерійовичу!

Інтернет Асоціація України, яка об’єднує понад 180 підприємств сфери інформаційно-комунікаційних технологій України, засвідчує Вам свою повагу та звертається з наступним.

Широке використання у найрізноманітніших сферах життєдіяльності соціуму комп’ютерних і телекомунікаційних технологій, у тому числі інтернет-технологій, разом з великою кількістю переваг привнесло також і чималу кількість загроз, реалізація яких може завдати значної шкоди як в рамках суверенних держав, а також і в світовому масштабі. Це обумовило виникнення проблеми забезпечення кібернетичної безпеки. На законодавчому рівні в Україні відсутнє як визначення поняття кібернетична безпека, так і практично відсутнє правове регулювання суспільних відносин, пов’язаних із забезпеченням кібербезпеки. Тому законодавче забезпечення кібербезпеки України є актуальним.

У проекті Закону України «Про основні засади забезпечення кібербезпеки України» (далі - Законопроекті) пропонується ввести низку термінів, які відсутні в законодавстві України, що є цілком обґрунтованим, оскільки саме дефініції термінів дозволяють окреслити предмет правового регулювання. Пропонується звернути увагу на обґрунтованість та відповідність меті правового регулювання запропонованих термінів.

 

1.  Базовий для Законопроекту термін «кібербезпека» пропонується визначити як «стан захищеності життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі».

Запропонована дефініція не акцентує увагу на запобіганні шкоди, яка може мати місце в результаті реалізації загроз кібербезпеки, що не дозволяє вичерпно сформулювати мету правового регулювання.

Такий підхід, заснований на використанні поняття шкоди, реалізовано в Стратегіях забезпечення кібербезпеки багатьох держав. Наприклад, «кібербезпека – це сукупність зусиль щодо запобігання шкоди, що може бути заподіяна внаслідок збоїв у роботі ІКТ або неправильного їх використання, а також з відновлення ІКТ після реалізації цих загроз» (Нідерланди, 2013 р.). В Канаді рівень кібербезпеки визначається рівнем шкоди, що може бути завданий від кібератаки.

 

2.  Визначення терміну «кібербезпека» базується на дефініції терміну «кіберпростір», який пропонується розуміти як «середовище, яке виникає в результаті функціонування на основі єдиних принципів і за загальними правилами інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем».

Надане визначення суб’єктно обмежує «простір» лише інформаційними (автоматизованими), телекомунікаційними та інформаційно-телекомунікаційними системами, тобто автоматизованими системами. Крім того, не надано визначення терміну «середовище», що призводить до невизначеності тлумачення терміну «кіберпростір».

Тому це негативно вплине на юридичне визначення кола суб’єктів правовідносин, які повинні регулюватись нормами цього Законопроекту.

 

3.  В Законопроекті пропонується термін «кіберзлочин». Проста підстановка в цей термін визначення кіберпростору дає наступний результат: «кіберзлочин — суспільно небезпечне винне діяння у кіберпросторі «середовищі, яке виникає в результаті функціонування на основі єдиних принципів і за загальними правилами інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем», передбачене законодавством України про кримінальну відповідальність».

Вочевидь надане в законопроекті визначення цього виду злочинів потребує ґрунтовного пояснення або корегування.

 

4.  Аналогічна пропозиція може бути висунута щодо дефініцій термінів «кібертероризм», «кібероборона» тощо.

 

5.  Відносно терміну «об’єкт критичної інформаційної інфраструктури» слід зауважити наступне. Інформаційна інфраструктура держави не ідентифікується лише інформаційними (автоматизованими), телекомунікаційними, інформаційно-телекомунікаційними системами. До інформаційної інфраструктури держави як правило також відносять телебачення, радіомовлення, друковані засоби масової інформації, видавництва, телекомунікації, систему інформаційно-аналітичних центрів, систему інформаційних ресурсів, архівну та бібліотечну систему тощо.

Крім того, методологічно доцільно розглядати в якості об’єктів порушення сталого функціонування яких матиме негативний вплив на стан національної безпеки і оборони України не інформаційні (автоматизовані), телекомунікаційні, інформаційно-телекомунікаційні системи, а об’єкти до яких вони входять. Це надасть можливість більш прозоріше сформувати критерії щодо віднесення таких об’єктів до критичних.

Таким чином, запропонована в Законопроекті термінологічна система, на наш погляд, не в повній мірі відповідає зазначеної меті правового регулювання та не забезпечує адекватного відображення предметної сфери.

В статті 3 Законопроекту викладені основні принципи забезпечення кібербезпеки. Частину запропонованих положень дійсно можна віднести до правових принципів, які можуть застосовуватись при правовому регулюванні в зазначеній сфері суспільних відносин. Але іншу частину положень доцільно використовувати поза Законопроектом в документах іншого характеру, наприклад: «пріоритетності запобіжних заходів», «комплексного підходу до впровадження правових, організаційних, технічних та інформаційних заходів» тощо.

Деякі заявлені принципи практично не найшли відображення в подальшому тексті Законопроекту, наприклад: «відповідальності суб’єктів забезпечення кібербезпеки за належне функціонування об’єктів кіберзахисту».

 

В частині 4 статті 4 Законопроекту зазначаються основні напрями забезпечення кібербезпеки України, до визначення деяких з них є певні зауваження:

«розвиток інформаційної інфраструктури держави» - цей напрямок скоріше можна віднести до інформаційної безпеки;

«забезпечення ефективного застосування Збройних Сил України для адекватної відповіді реальним та потенційним кіберзагрозам національному сегменту кіберпростору» – доцільно було б обґрунтувати цей напрям описом загроз, для нейтралізації яких потрібно залучати Збройні Сили України;

«розвиток пріоритетних напрямів науки і техніки як основи створення високих інформаційних технологій» – цей напрям є універсальним для всіх сфер діяльності, тому він не відображає специфіку саме кібербезпеки.

 

В частині 5 статті 4 Законопроекту зазначаються головні принципи діяльності у сфері кібербезпеки України, які доцільно віднести до статті 3 «Основні принципи забезпечення кібербезпеки».

 

Частини 1 та 3 статті 6 Законопроекту за змістом є бланкетними нормами, хоча правова регламентація саме забезпечення кібербезпеки, зокрема, і кіберзахисту, повинна бути основним змістом цього Законопроекту.

 

Частина 2 статті 6 Законопроекту покладає відповідальність за забезпечення кіберзахисту об’єкта критичної інформаційної інфраструктури на його власника. Зазначений підхід практично унеможливить визначення відповідального за забезпечення кіберзахисту для державних об’єктів критичної інформаційної інфраструктури.

 

В частині 1 статті 7 Законопроекту пропонується вважати національну систему кібербезпеки як сукупність усіх суб’єктів забезпечення кібербезпеки, а також взаємоузгоджених заходів кіберзахисту, що здійснюються ними. Але будь-яка система насамперед характеризується описом її елементів (в даному випадку використовується термін суб’єктів забезпечення кібербезпеки) та описом взаємних зв’язків між ними, що в термінах права викладається у юридичних обов’язках та юридичних правах зазначених суб’єктів. На жаль, Законопроект практично не містить норм з описом юридичних обов’язків та юридичних прав суб’єктів відповідних суспільних відносин.

 

Зміст статті 7 в цілому повинен базуватись на виваженій моделі системи забезпечення кібернетичної безпеки в Україні, бажано затвердженої на найвищому рівні. В разі відсутності такої моделі потребує додаткових пояснень та правового обґрунтування з посиланням на відповідні базові закони кожен пункт повноважень відповідних держаних органів з тлумаченням їх змісту та з наведенням конкретних прикладів.

 

Загальний висновок. З огляду на вищезазначене, ми вважаємо Законопроект таким, що потребує суттєвого доопрацювання, насамперед, в частині термінологічної системи. Тому просимо Вас відкликати Законопроект до включення до порядку денного сесії Верховної Ради і сприяти залученню до його вдосконалення зацікавлених організацій. Зі свого боку Інтернет Асоціація України готова направити своїх експертів для доопрацювання Законопроекту.

 

 

Додаток: Аналітична записка щодо Законопроекту «Про основні засади забезпечення кібербезпеки України» на 4 арк.

 

 

 

 

З повагою,

 

Голова Правління

Інтернет Асоціації України                                                                   О.Федієнко