Щодо інформування про кіберінциденти
Доброго дня!
Відповідно до статті 6 Закону України власники та/або керівники підприємств, установ та організацій, віднесених до об’єктів критичної інфраструктури, відповідальні за невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA про інциденти кібербезпеки.
Пунктом 8 Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою КМУ від 19.06.2019 №518 встановлено, що власник та/або керівник об’єкта критичної інфраструктури організовує невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA , а також функціонального підрозділу контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Центрального управління СБУ (Ситуаційний центр забезпечення кібербезпеки СБУ) або відповідного підрозділу регіонального органу СБУ про кіберінциденти та кібератаки, які стосуються його об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
Постановою Кабінету Міністрів України від 16.11.2002 №1772 затверджено «Порядок взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах».
В пункті 12 частити третьої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» зазначається, що функціонування національної системи кібербезпеки забезпечується шляхом обміну інформацією про інциденти кібербезпеки між суб’єктами забезпечення кібербезпеки У ПОРЯДКУ, ВИЗНАЧЕНОМУ ЗАКОНОДАВСТВОМ.
Листом НКЦК від 17.04.2020 №1035/16-07/2-20 пропонується у разі виявлення кіберінциденців, кібератак, несанкціонованих дій в інформаційних системах, порушень інформаційної безпеки необхідно невідкладно (протягом доби) інформувати НКЦК.
Також цим листом повідомляється, що особи, винні у порушенні вимог законодавства у сферах електронних комунікацій несуть відповідальність згідно із законом.
На підставі статей 1, 13, 19, 20 Закону України «Про доступ до публічної інформації» від 13 січня 2011 року, які надають право звертатись із запитами до розпорядників інформації щодо надання публічної інформації, прошу надати наступну інформацію :
Яким законодавчим актом передбачено інформування НКЦК про кіберінциденти та кібератаки, несанкціоновані дії в інформаційних системах і порушення інформаційної безпеки.
Яким нормативно правовим актом надано визначення «електронні комунікації», про які порушення йдеться мова.
З повагою,
Олександр Рудомовський