Рада дозволила залучати незалежних ІТ-фахівців до тестування вразливостей державних інформаційних систем
24 березня народні депутати підтримали внесення змін до статей 361 та 361-1 Кримінального кодексу України, що дасть можливість залучити незалежних ІТ-фахівців до пошуку помилок і вразливостей програмних продуктів, інформаційно-комунікаційних систем тощо та оперативно усувати всі недоліки та прогалини у безпеці. Держспецзв’язку розробила законопроєкт на виконання рішення Ради національної безпеки й оборони щодо покращення стану кібербезпеки держави та запобігання інцидентам, подібним тому, який трапився 14 січня цього року.
Стаття 361 ККУ стосується несанкціонованого втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, а стаття 361-1 — створення шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут.
Завдяки цим змінам ІТ-спільнота зможе легально тестувати державні інформаційні системи на наявність вразливостей, а держава отримає інструмент для значного підвищення ступеня захисту таких систем. Втручання експертів в роботу інформаційних та електронних комунікаційних мереж не вважатиметься несанкціонованим, якщо його вчинено відповідно до Порядку пошуку та виявлення потенційних вразливостей таких систем чи мереж.
Також законодавчі новації передбачають запровадження в органах державної влади та на об’єктах критичної інформаційної інфраструктури посад офіцерів із кіберзахисту. Їм підпорядковуватимуться служби захисту інформації. Для таких спеціалістів буде встановлено заробітну плату на рівні не нижче ринкової.
Серед інших новацій у сфері кіберзахисту:
- Створення інструментів фінансового стимулювання співробітників державних органів, що виконують завдання з адміністрування ІТ-систем.
- Посилення відповідальності посадових осіб за невиконання вимог із кіберзахисту в органах державної влади та на об’єктах критичної інформаційної інфраструктури.
- Закріплення комплексу заходів із виявлення вразливостей і недоліків у налаштуванні інформаційних систем, в яких обробляються державні інформаційні ресурси.
- Надання повноважень впроваджувати вимоги з кібербезпеки до підрядних організацій, які працюють з органами державної влади.
- Надання повноважень від органів державної влади та об’єктів критичної інфраструктури вимагати усунення критичних вразливостей із подальшим звітуванням, а також встановлення відповідальності за порушення або невиконання зазначених вимог.
Раніше Рада також ухвалила законопроєкт, яким дозволила розміщувати державні реєстри за межами України.