Підготовлено ініціативною групою у складі: Артем Карпинський, Володимир Стиран, Єгор Аушев, Олексій Барановський, Олексій Янковський, Костянтин Корсун, Sean Brian Townsend
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Пропозиції з реформування національної системи кібербезпеки
1. Пропозиції з реформування національної системи кібербезпеки
Підготовлено ініціативною групою у складі: Артем Карпинський, Володимир Стиран, Єгор
Аушев, Олексій Барановський, Олексій Янковський, Костянтин Корсун, Sean Brian
Townsend
1. Цілі реформування:
1.1 Закласти в основу функціонування системи національної кібербезпеки сучасні
міжнародні підходи, стандарти та практики.
1.2 Забезпечити дієвий захист інтересів громадян(суспільства) та країни (держави) у
кіберпросторі.
1.3 Адаптувати регуляцію функціонування національної системи кібербезпеки до
реальних потреб учасників галузі (виключити надмірну регуляцію).
1.4 Оновити законодавчу базу з питань кібербезпеки у відповідності до вимог сьогодення.
1.5 Забезпечити інтеграцію українських суб’єктів кібербезпеки у світову систему протидії
кібер-викликам.
2. Принципи реформування
2.1 Верховенство професійної кваліфікації у прийнятті рішень з питань функціонування
системи кібербезпеки на загальнонаціональному та галузевому рівнях;
2.3 Колегіальність та публічність у прийняття ключових рішень, які стосуються
функціонування системи кібербезпеки на загальнонаціональному та галузевому рівнях;
2.3 Фокус не тільки на запобіганні, але і на організації ефективного реагування на
кібератаки.
2.2 Широке застосування міжнародних, ризик-орієнтованих стандартів та визнаних
позитивних практик з кібербезпеки, в тому числі галузевих (напр. NERC CIP, HIPAA), як
основу національного законодавства України, відмова від застарілих і неефективних
стандартів НДТЗІ; застосування NIST або ISO-27001 в якості основного стандарту з
кібербезпеки замість НДТЗІ;
2.3 Визнання міжнародних професійних сертифікацій в сфері кібербезпеки замість
вітчизняних кваліфікаційних вимог які зараз розробляються. Вимоги отримання даних
сертифікацій для відповідальних за кібербезпеку на ОКІ та держсекторі, аудиторів,
тестерів на проникнення та інших фахівців з кібербезпеки в галузевих ОКІ та державних
установах.
2.4 Делегування частини державних регуляторних функцій у сфері кібербезпеки
галузевим об'єднанням, професійним спільнотам, само-організованим громадам,
громадським організаціям, тощо.
2.5 Делегування частини державних регуляторних функцій у сфері кібербезпеки
регуляторам галузевих об’єктів критичної інфраструктури (ОКІ) з покладанням на них
відповідальності за стан дотримання мінімальних вимог до кіберзахисту відповідних ОКІ.
(Цілі, критерії, акредитація аудиторів, правила та процедури перевірки, мають відбуватися
за правилами, визначеними галузевими регуляторами)
2.6 Здійснення державними інституціями регуляторних функцій у сфері кібербезпеки лише
у разі неможливості делегування таких функцій галузевим об'єднанням, професійним
спільнотам, само-організованим громадам, громадським організаціям, іншим
організаційним формам само-об’єднання власників/розпорядників ІТС.
2.6 Забезпечення регулярного аудиту ОКІ за міжнародними стандартами;
2.7 Запровадження механізмів незалежного контролю за витратами на кібербезпеку з
державного бюджету, а також іноземних та міжнародних донорських коштів, які надаються
державним органам України на потреби забезпечення кібербезпеки.
2.8 Захист персональних даних громадян України.
2.9 Мережева нейтральність та невтручання у функціонування Інтернет.
2.10 Трансформаційний підхід (постійний контроль та фасилітація впровадження змін з
боку компетентної та уповноваженої структури)
2. 3. Основні ініціативи
• розробка та реалізація загальнонаціональної програми з кібер-гігієни;
• розробка та реалізація програми навчання працівників ОКІ та ЦОВВ з питань
кібербезпеки;
• організація навчання з реагування на кібератаки для керівництва підприємств
державного та приватного сектору
• підготовка та проведення кібер-навчань в інтересах ОКІ, ЦОВВ,
Кіберкомандування, інших зацікавлених організацій із залученням українською
кібер-спільноти (за рішенням НЕНОК);
• Створення галузевих центрів кібербезпеки (Security Operations Centers) та
галузевих центрів обміну інформацією про кібератаки (Information Sharing &
Analysis Centers - ISACs) та забезпечення обміну інформацією з відповідними
іноземними галузевими центрами (FS-ISAC, EE-ISAC, MM-ISAC та ін.)
• організація програм Bug Bounty для ОКІ, у взаємодії з галузевими кібер-
регуляторами. В тому числі декриміналізація дій етичних хакерів з перевірки
захищеності систем
• Забезпечення обміну інформацією про атаки і Threat Intelligence в т.ч. від
приватного сектора
• створення національної експертної незалежної дорадчої організації з питань
кібербезпеки (НЕНОК) як головного джерела кваліфікації та компетенцій з питань
та принципів функціонування національної системи кібербезпеки України за участі
представників кібер-бізнесу, кібер-спільноти, наукових та академічних інституцій,
державних органів, міжнародних організацій
• Створення при ГШ ЗСУ Кіберкомандування із забезпеченням його автономності у
визначенні та реалізації завдань, а також за умов незалежності фінансування у
необхідних обсягах. У структурі Кіберкомандування передбачається окремий
підрозділ з активної протидії кібернападам на військові об’єкти та ОКІ (у мирний та
військовий час).
• Декриміналізація заходів активної протидії та стримування агресії проти України в
кібер-просторі.
• Імплементація Директиви NIS
• Зміна до законів - Про Захист Інформації, Про основні засади Кібербезпеки
України, розробка законопроекту про галузеве регулювання кібербезпеки