Висновок антикорупційної експертизи проєкту постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури»

Картка проєкту

Проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури»

Державна служба зв’язку та захисту інформації України (далі – Держспецзв’язку)

Мета проєкту постанови – визначення основних вимог та механізму впровадження незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури

 

Резюме антикорупційної експертизи

 За результатами проведення антикорупційної експертизи Національним агентством виявлено, що положення проєкту постанови «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт постанови) містять корупціогенні фактори. Запровадження незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури в умовах правової невизначеності переліку таких об’єктів, порядку атестації аудиторів, вимог до аудиту створює умови для реалізації корупційних схем, що унеможливлює прийняття проєкту у запропонованій редакції. Зокрема, джерелами корупційних ризиків є такі положення проєкту постанови:

1. Встановлення обов’язку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури за відсутності нормативно визначеного переліку таких об’єктів.
2. Правова невизначеність порядку проведення атестації аудиторів інформаційної безпеки, вимог до визначення кваліфікаційної придатності аудиторів та критеріїв їх атестації, а також порядку ведення переліку атестованих аудиторів.
3. 3. Розширення повноважень Держспецзв’язку у частині ведення переліку атестованих аудиторів інформаційної безпеки.
4. Встановлення періодичності проведення аудиту для різних об’єктів критичної інфраструктури в умовах невизначеності критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури, переліку таких об’єктів, загальних вимог до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз.
5. Виключення з переліку об’єктів критичної інфраструктури, на які поширюватимуться положення проєкту постанови, мікро- та малих підприємств, які надають телекомунікаційні послуги, що не відповідає вимогам Закону України «Про основні засади забезпечення кібербезпеки країни».
6. Нечітка, з порушенням принципу правової визначеності, регламентація обов’язків аудиторів інформаційної безпеки, а також вимог до звіту, який складається за результатами незалежного аудиту.

 

Таблиця виявлених корупціогенних факторів

№ п/п	Корупціогенні фактори
1	Необґрунтоване встановлення або розширення дискреційних повноважень органу чи особи за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку їх здійснення
2	Суперечність між різними положеннями одного й того ж акта або між положеннями різних актів однакової юридичної сили у вирішенні одного і того ж питання, що допускає різне тлумачення норм та вимог
3	Нечітка, з порушенням принципу юридичної визначеності, регламентація прав, обов’язків чи відповідальності фізичних (юридичних) осіб
4	Невідповідність змісту акта положенням акта, що має вищу юридичну силу

 

Опис виявлених корупціогенних факторів

 1. Необґрунтоване встановлення або розширення дискреційних повноважень органу чи особи за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку їх здійснення Проєктом пропонується затвердити Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури. Правові та економічні засади функціонування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури визначено Законом України «Про основні засади забезпечення кібербезпеки країни» (далі - Закон). Відповідно до ч. 3 ст. 5 Закону Кабінет Міністрів України формує вимоги та забезпечує функціонування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури (крім об’єктів критичної інфраструктури у банківській системі України). У п. 1 ч. 2 ст. 8 Закону встановлено, що Держспецзв’язку, зокрема, забезпечує впровадження аудиту інформаційної безпеки на об’єктах критичної інфраструктури, встановлює вимоги до аудиторів інформаційної безпеки, визначає порядок їх атестації (переатестації). Положенням про Адміністрацію Держспецзв’язку, затвердженим постановою Кабінету Міністрів України від 03.09.2014 № 411, визначено такі повноваження Держспецзв’язку у сфері аудиту інформаційної безпеки: - забезпечення впровадження системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури, встановлення вимог до аудиторів інформаційної безпеки, їх атестації (переатестації); - координація, організація та проведення аудиту захищеності комунікаційних і технологічних систем об'єктів критичної інфраструктури на вразливість. Натомість проєкт постанови передбачає розширення повноважень Держспецзв’язку в частині ведення переліку атестованих аудиторів інформаційної безпеки, які не передбачені чинним законодавством. Водночас порядок внесення атестованих аудиторів до такого переліку, а також його адміністрування нормативно не врегульовано. Оскільки законодавством не затверджений перелік об’єктів критичної інфраструктури, не визначені Вимоги до аудиторів інформаційної безпеки, їх атестації та переатестації, запропоноване регулювання створює умови для реалізації корупційних схем. Рекомендації НАЗК:

• визначити перелік об’єктів критичної інфраструктури;
• затвердити Вимоги до аудиторів інформаційної безпеки, їх атестації та переатестації;
• визначити порядок ведення переліку атестованих аудиторів інформаційної безпеки.

2. Суперечність між різними положеннями одного й того ж акта або між положеннями різних актів однакової юридичної сили у вирішенні одного і того ж питання, що допускає різне тлумачення норм та вимог Відповідно до ст. 6 Закону критерії та порядок віднесення об’єктів до об’єктів критичної інфраструктури, перелік таких об’єктів, загальні вимоги до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз, та вимоги до проведення незалежного аудиту інформаційної безпеки затверджуються Кабінетом Міністрів України, а в банківській системі України - Національним банком України. Однак наразі зазначені нормативні документи не затверджені. Натомість у п. 3 проєкту постанови пропонується  встановити обов’язок для власників та/або керівників об’єктів критичної інфраструктури організувати  проведення не рідше ніж один раз на два роки незалежного аудиту. Проте встановлення однакової періодичності проведення аудиту для різних суб’єктів господарювання  в умовах правової невизначеності індикаторів кіберзагроз є невиправданим та обтяжливим, оскільки  витрати на проведення незалежного аудиту проєктом постанови пропонується повністю покласти на суб’єкта господарювання. Враховуючи викладене, прийняття проєкту постанови у такій редакції та покладення обов’язку щодо проведення незалежного аудиту один раз на два роки на всі об’єкти критичної інфраструктури без визначення критеріїв настання негативних наслідків є передчасним. Рекомендацї НАЗК: виконати вимоги Закону в частині затвердження Кабінетом Міністрів України критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури, переліку таких об’єктів, загальних вимог до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз. 3. Нечітка, з порушенням принципу юридичної визначеності, регламентація прав, обов’язків чи відповідальності фізичних (юридичних) осіб 1) У п. 13 Вимог щодо проведення незалежного аудиту визначено вимоги до звіту за результатами незалежного аудиту, які базуються на вимогах національних стандартів та рекомендацій міжнародних стандартів інформаційної безпеки. Водночас перелік стандартів не деталізовано, що порушує принцип юридичної визначеності регламентації прав, обов’язків чи відповідальності фізичних (юридичних) осіб. Також у п. 13 передбачено, що звіт за результатами незалежного аудиту має містити, серед іншого, інформацію про оцінку достатності і адекватності компенсуючих заходів, які застосовані для мінімізації загроз, проте критеріїв оцінки відповідності у проєкті не встановлено. Оскільки складення зазначеного звіту є обов’язковим, а за його повноту, достовірність, конфіденційність у проєкті постанови передбачена відповідальність, встановлення непрозорих вимог до його змісту буде сприяти виникненню корупційних ризиків та зловживань. Рекомендації НАЗК: визначити вимоги національних та міжнародних стандартів інформаційної безпеки, на яких повинен базуватися звіт; визначити критерії або методику оцінки достатності і адекватності компенсуючих заходів, які застосовані для мінімізації загроз об’єкта критичної інфраструктури. 2) У п. 8 проєкту Порядку проведення незалежного аудиту передбачено обов’язок аудиторів дотримуватися вимог Порядку проведення незалежного аудиту та інших нормативно-правових актів, національних та міжнародних стандартів. Крім того, як зазначено у проєкті постанови, метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є об’єктивна оцінка відповідності стану інформаційної безпеки на об’єктах критичної інфраструктури встановленим вимогам національних та рекомендаціям міжнародних стандартів інформаційної безпеки. Разом з цим у законодавстві не визначено термін «інформаційна безпека», а також  стандарти, які встановлюють вимоги до стану інформаційної безпеки на об’єктах критичної інфраструктури. Враховуючи викладене, правова конструкція п. 8 проєкту постанови порушує принцип юридичної визначеності та є джерелом корупційного ризику. Рекомендації НАЗК:

• визначити перелік нормативно-правових актів, які регулюють обов’язки аудиторів під час проведення незалежного аудиту об’єктів інформаційної безпеки;
• визначити у проєкті постанови термін «інформаційна безпека»;
• зазначити у проєкті постанови посилання на стандарти, які встановлюють вимоги до стану інформаційної безпеки на об’єктах критичної інфраструктури.

4. Невідповідність змісту акта положенням акта, що має вищу юридичну силу Проєкт постанови виключає із переліку об’єктів критичної інфраструктури, на які поширюватимуться вимоги щодо проведення аудиту, мікро- та малі підприємства, які надають телекомунікаційні послуги. Натомість Законом визначено, що до об’єктів критичної інфраструктури можуть бути віднесені підприємства, установи та організації незалежно від форми власності, які: 1) провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах; 2) надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я; 3) є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню; 4) включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави; 5) є об’єктами потенційно небезпечних технологій і виробництв. Водночас проєктом постанови передбачено, що вимоги до проведення незалежного аудиту не застосовуються до  мікро- та малих підприємств, які надають телекомунікаційні послуги, що суперечить положенням Закону. Рекомендації НАЗК: виключити положення про незастосування вимог щодо проведення аудиту до мікро- та малих підприємств, які надають телекомунікаційні послуги.   Висновок: проєкт постанови містить корупціогенні фактори та потребує доопрацювання з урахуванням наведених рекомендацій.     Голова Національного агентства з питань запобігання корупції                        Олександр НОВІКОВ