Рішення : Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року "Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації", введеного в дію Указом Президента України від 13 лютого 2017 року N

РАДА НАЦІОНАЛЬНОЇ БЕЗПЕКИ І ОБОРОНИ УКРАЇНИ

РІШЕННЯ
від 10 липня 2017 року

Про стан виконання рішення Ради
національної безпеки і оборони України
від 29 грудня 2016 року "Про загрози кібербезпеці
держави та невідкладні заходи з їх нейтралізації",
введеного в дію Указом Президента України
від 13 лютого 2017 року N 32

(Введено в дію Указом Президента України
N 254/2017 від 30.08.2017)

Розглянувши комплекс проблем у сфері забезпечення кібербезпеки, пов’язаних із наслідками здійснених останнім часом масованих кібератак на державні електронні інформаційні ресурси та об’єкти критичної інфраструктури, Рада національної безпеки і оборони України вирішила:

1. Кабінету Міністрів України:

1) вжити заходів щодо безумовного виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року "Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації", введеного в дію Указом Президента України від 13 лютого 2017 року N 32;

2) опрацювати питання щодо визначення Державної служби спеціального зв’язку та захисту інформації України органом, відповідальним за збереження резервних копій інформації та відомостей державних електронних інформаційних ресурсів, а також щодо встановлення порядку передачі, збереження і доступу до цих копій;

3) вжити у місячний строк заходів щодо впровадження механізму обов’язкового погодження з Державною службою спеціального зв’язку та захисту інформації України проектів (завдань) створення та розвитку інформаційно-телекомунікаційних систем державних органів, підприємств, установ і організацій державної форми власності;

4) запровадити в установленому порядку в рамках розвитку державно-приватного партнерства механізм залучення фізичних і юридичних осіб на умовах аутсорсингу до виконання завдань кіберзахисту державних електронних інформаційних ресурсів;

5) у тримісячний строк:

а) запровадити механізм додаткового стимулювання мотивації до праці фахівців Міністерства оборони України, Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України, Національної поліції України, Національного банку України, розвідувальних органів, які беруть безпосередню участь в організації та реалізації заходів протидії кіберзагрозам;

б) врегулювати питання щодо заборони державним органам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Інтернет у операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації;

в) підготувати та внести в установленому порядку на розгляд Верховної Ради України законопроект щодо встановлення обов’язкового погодження з Державною службою спеціального зв’язку та захисту інформації України завдань (проектів) Національної програми інформатизації;

6) у шестимісячний строк:

а) забезпечити в установленому порядку фінансування видатків на модернізацію ситуаційних центрів з кібербезпеки Служби безпеки України та Державної служби спеціального зв’язку та захисту інформації України;

б) підготувати за участю Служби безпеки України та подати в установленому порядку на розгляд Верховної Ради України законопроект щодо розмежування кримінальної відповідальності за злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку, вчинені щодо державних та інших інформаційних ресурсів, щодо об’єктів критичної інформаційної інфраструктури та інших об’єктів, а також відповідного розмежування підслідності;

7) протягом 2017 року:

а) забезпечити фінансування видатків на проектування захищеного центру обробки даних для розміщення державних електронних інформаційних ресурсів;

б) організувати першочергове підключення до національної телекомунікаційної мережі державних органів згідно з переліком, підготовленим Адміністрацією Державної служби спеціального зв’язку та захисту інформації України, та забезпечити виконання цими органами основних вимог до розміщення телекомунікаційних вузлів вказаної мережі, передбачивши поетапне підключення до національної телекомунікаційної мережі всіх державних органів, підприємств, установ та організацій державної форми власності;

в) вжити заходів щодо створення Національного центру оперативно-технічного управління мережами телекомунікацій України та забезпечення його функціонування;

г) підготувати та внести в установленому порядку на розгляд Верховної Ради України законопроект щодо непоширення дії мораторію на здійснення заходів державного нагляду (контролю) суб’єктів господарювання незалежно від форми власності у сфері криптографічного та технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом;

ґ) забезпечити безумовне виконання державними органами законодавства у сфері технічного захисту інформації, а також оперативно реагувати в установленому порядку на виявлені порушення.

2. Адміністрації Державної служби спеціального зв’язку та захисту інформації України у тримісячний строк:

1) для службового користування;

2) підготувати та внести в установленому порядку на розгляд Кабінету Міністрів України пропозиції щодо:

а) впровадження обов’язкових вимог стосовно здійснення державними органами, підприємствами, установами та організаціями державної форми власності ідентифікації та автентифікації джерел отриманих оновлень до програмного забезпечення, яке використовується для обробки державних інформаційних ресурсів та інформації, вимога про захист якої встановлена законом, та встановлення цілісності таких оновлень, а також вимог щодо поступового застосування посадовими (службовими) особами зазначених суб’єктів електронного цифрового підпису під час надсилання засобами електронної пошти інформації, пов’язаної з виконанням посадових (службових) обов’язків;

б) підготовки та перепідготовки фахівців з питань кіберзахисту;

в) створення для потреб Міністерства оборони України, Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України, Національної поліції України, Національного банку України, розвідувальних органів єдиної інтерактивної бази даних про кіберінциденти;

3) забезпечити модернізацію та розширення функціональних можливостей системи інформаційного обміну про кіберзагрози.

3. Адміністрації Державної служби спеціального зв’язку та захисту інформації України разом зі Службою безпеки України:

1) невідкладно визначити першочергові потреби розвитку організаційно-технічної моделі кіберзахисту та подати в установленому порядку пропозиції стосовно фінансування цих потреб;

2) розробити у місячний строк вимоги до технічних засобів, що застосовуються для моніторингу блокування (обмеження) доступу до інформаційних ресурсів та/або інформаційних сервісів, провести розрахунки щодо потреби у таких засобах та подати в установленому порядку пропозиції стосовно фінансування їх закупівлі.

4. Для службового користування.

5. Для службового користування.

6. Службі безпеки України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України разом із Національною поліцією України невідкладно активізувати співпрацю із зарубіжними партнерами щодо протидії кібератакам на критичну інформаційну інфраструктуру, проведення розслідувань таких кібератак, установлення причин і умов, що сприяли їх вчиненню, а також щодо залучення міжнародної технічної допомоги для забезпечення кіберзахисту державних електронних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури.

7. Рекомендувати Національному банку України за участю Адміністрації Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України невідкладно вжити заходів, спрямованих на удосконалення кіберзахисту системно важливих банків України.

Секретар Ради національної безпеки і оборони України О.ТУРЧИНОВ