Нардепы пытаются закрепить устаревшие нормы кибербезопасности через «левый» закон

Народные депутаты пытаются законодательно закрепить устаревшую норму о подтверждении соответствия комплексной системы защиты информации государственных информационных ресурсов по результатам государственной экспертизы. Норму "пропихивают" через законопроект, не имеющий к кибербезопасности отношения и даже не проходящий рассмотрение в профильном комитете ВРУ по вопросам цифровой трансформации, - законопроект №1055-1 "Об аренде государственного и коммунального имущества".

На это обратил внимание эксперт по кибербезопасности, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко, передает InternetUA.

- Пока все прогрессивные специалисты пытаются навести порядок в нашей сфере, некая группа лиц, продвигая якобы законы по аренде государственной собственности, по-тихому, отдает в руки государства и некого "регулятора" бразды правления, - написал Александр Галущенко.

Эксперт обратил внимание на переходные положения законопроекта Об аренде государственного и коммунального имущества". Документом, подписанным нардепами-"слугами народа" Мовчаном, Мотовиловцем и Пидласой, предлагается внести изменения в статью 8 действующего ЗУ "О защите информации в информационно-телекоммуникационных системах". Народные избранники предлагают, чтобы "государственные информресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием или в ЕТС, которая соответствует требованиям стандарта ISO / IEC 27001, что подтверждается сертификатом соответствия", а фразу "Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством" переписать - "Подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы в порядке, установленном законодательством".

Таким образом, использование СУИБ (стандарта ISO / IEC 27001) предлагается сделать возможным только для электронных торговых систем (для проведения аукциона в электронной форме) и законодательно закрепить норму о подтверждении КСЗИ путем государственной экспертизы.

- ГСССЗИ будет вечен. Как Шопен на похоронах, - подчеркнул Александр Галущенко.

К слову, нормы, которые пытаются легитимизировать через переходящие положения законопроекта "Об аренде государственного и коммунального имущества", противоречит норме другого законопроекта, также внесенного "слугами народа", правда законопроекта "профильного" - №2043 "О внесении изменений в Закон Украины "О защите информации в информационно-телекоммуникационных системах" (относительно подтверждения соответствия информационной системы требованиям по защите информации)". "Профильным" законопроектом предполагается, что "подтверждение соответствия осуществляется по результатам государственной экспертизы, которая проводится с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством". Третью часть статьи 8 также предлагается переписать - исключить слова "сертификат соответствия или", а слова "Подтверждение соответствия и проведение" заменить словом "Проведение". То есть, в новом законопроекте часть третья статьи 8 будет выглядеть так: "Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом, используются средства защиты информации, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере технической и / или криптографической защиты информации. Проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством".

Как мы уже упоминали выше, законопроект "Об аренде государственного и коммунального имущества" не попадет на рассмотрение в Комитет ВРУ, ответственный за вопросы кибербезопасности. То есть, в отрасли единственная надежда на сознательность авторов "имущественного" законопроекта. Документ уже прошел первое чтение и его принятие во втором может привести к законодательной коллизии в сфере кибербезопасности (коллизии у нас решаются не быстро). Сложно судить, что заставило депутатов "пропихивать" через непрофильные законопроекты вопросы из других отраслей, - лоббирование, злой умысел или незнание. Пока ясно одно: "аукнуться" может и авторам (ударом как по их персональному рейтингу, так и по рейтингу "Слуги народа") и всей ИБ-отрасли.