Правові механізми управління критичною інформаційною інфраструктурою України

postgraduate of the Department of Globalistics European integration and national security management,

National Academy for Public Administration under the President of Ukraine

LEGAL MECHANISMS OF CRITICAL INFORMATION INFRASTRUCTURE MANAGEMENT IN UKRAINE

The article analyzes the existing legal mechanisms for managing critical information infrastructure in Ukraine. Attention are focused on the role of legal regulation of public relations in the area of counteracting threats to the security of critical information infrastructure by intentional using information and communication technologies against objects of critical infrastructure. The main components of legal security of critical information infrastructure: national and international are investigating. The possible tools for improving the mechanisms of legal security of critical information infrastructure are identifying, in particular, for the national component of legal security, - the development of the Procedure for Identification of Critical Information Infrastructure objects and the introduction of critical information infrastructure objects under it. In addition, the problems of improving the international component of legal security and development of legal security of critical information infrastructure in general are formulating.

Key words: critical information infrastructure, automated control systems, cybersecurity, incident in cyberspace.

Постановка проблеми. Сучасні тенденції активного використання ресурсного потенціалу, його наявних матеріальних, технічних, трудових, інформаційних ресурсів спричинили феноменальну залежність людства від послуг, які надають різноманітні інфраструктурні галузі. Такий розвиток суспільства зумовлює необхідність формування механізмів публічного управління безпекою критичної інфраструктури. Суттєва роль у формуванні цієї умови належить правовому регулюванню суспільних відносин у сфері протидії загрозам порушення безпеки критичної інформаційної інфраструктури (КІІ) шляхом навмисного використання інформаційно-комунікаційних технологій проти об'єктів критичної інфраструктури.

Наразі забезпечення захисту та стабільного функціонування життєво важливих інфраструктурних об'єктів у складному зовнішньому та внутрішньому середовищах є найважливішою і обов'язковою складовою національної безпеки розвинутих держав.

У Стратегії національної безпеки України проблеми забезпечення інформаційної безпеки, кібербезпеки і безпеки інформаційних ресурсів та критичної інфраструктури визначаються пріоритетними до вирішення у сфері державної політики національної безпеки держави [1].

Зазначені чинники характеризують актуальність наукового дослідження механізмів публічного управління національною безпекою, та у межах цього напряму - правовому регулюванню критичної інформаційної інфраструктури, впровадження яких спроможне забезпечити адекватне реагування на виклики і загрози.

Аналіз останніх публікацій за проблематикою. Серед вітчизняних учених, які розглядали питання сутності управління безпекою та критичною інфраструктурою, можна назвати таких авторів: В.Абрамов, Д.Бірюков, О.Довгань, О.Іжак, Г.Ситник, А.Семенченко, О.Суходоля, В.Лядовська, С.Кондратов, С.Кулінська, В.Куйбіда, О.Насвіт. Крім того, дослідженню проблемних питань критичної інформаційної інфраструктури присвячені праці A.Wenger, V.Mauer & M.Cavelty, A. Di Giorgio, F.Liberati, G.Giannopoulos, R.Filippini & M.Schimmer, L.Muresan та ін.

Разом з тим кількість публікацій, де розглянуто сутність правових механізмів публічного управління КІІ у вітчизняній та зарубіжній літературі, обмежена, тому означена тема дослідження є актуальною.

Формулювання цілей (мети) статті. Метою статті є аналіз існуючих правових механізмів управління критичною інформаційною інфраструктурою в Україні та дослідження інструментів для їх вдосконалення.

Виклад основного матеріалу дослідження. Сьогодні в Україні законодавчий акт, де сформульовані основи державної політики, спрямованої на розв'язання проблеми сфери критичної інфраструктури, перебувають на стадії розробки.

Відповідно до завдань Річної національної програми співробітництва Україна-НАТО в 2015 р. розроблено Зелену книгу з питань захисту критичної інфраструктури в Україні. У ній розглянуто питання створення в Україні системи захисту критичної інфраструктури та сформульовано стратегічні цілі, принципи й завдання системи державної політики у сфері захисту критичної інфраструктури в Україні (далі - Зелена книга).

У Зеленій книзі наводиться таке визначення: “Критична інфраструктура України - це системи та ресурси, фізичні чи віртуальні, що забезпечують функції та послуги, порушення яких призведе до найсерйозніших негативних наслідків для життєдіяльності суспільства, соціально-економічного розвитку країни та забезпечення національної безпеки” [2].

Важливим компонентом критичної інфраструктури є її інформаційна складова - критична інформаційна інфраструктура, концепцію захисту якої уперше розроблену в США, згодом було прийнято в більшості розвинених держав світу. Галузь захисту КІІ в Україні перебуває на початковому етапі формування. Чинним законодавством визначено лише окремі об'єкти соціально-економічної сфери, на яких надзвичайні події можуть призвести до суспільно небезпечних наслідків, які не систематизовані. Крім того, немає визначеного понятійно-категорійного апарату в цій галузі.

Відсутність поняття “критична інформаційна інфраструктура” у законодавстві деяких держав можна пояснити тим, що інформаційна складова входить до обсягу поняття інфраструктури взагалі (тобто критичної інфраструктури) і не виокремлюється як певна ланка. Однак слід зазначити, що в тлумаченні цього терміна в різних державах простежується чітка аналогія [3].

З огляду на те, що термін “критична інформаційна інфраструктура” не має сталого тлумачення в різних державах, на нашу думку, критична інформаційна інфраструктура - це система управління інформацією критично важливих об'єктів та інформаційно-комунікаційні мережі, що забезпечують обороноздатність і безпеку державних і приватних установ, функціонування яких може вплинути на національну безпеку України.

У складі КІІ можна виділити інформаційну та мережеву складові. Інформаційне середовище КІІ являє собою систему управління інформацією критично важливих об'єктів, у тому числі обчислювальні та інформаційні ресурси, що утворюють автоматизовані системи управління (АСУ). При цьому обчислювальні ресурси утворюються сукупністю локальних обчислювальних мереж, інших засобів обчислювальної техніки і програмних засобів, що описують методи і способи автоматизації обробки інформації і можуть бути використані для організації розподілених обчислень (наприклад для дешифрування зашифрованого коду, моделювання складних соціальних і фізичних процесів).

Мережева складова КІІ утворюється із сукупності: телекомунікаційних пристроїв; ліній зв'язку та мережевого обладнання; систем відкритих протоколів обміну інформацією між телекомунікаційними пристроями; глобальної системи цифрових адрес і цифрових ідентифікаторів; програмного забезпечення, що реалізує методи, алгоритми і процеси телекомунікаційного зв'язку на базі протоколів взаємодії локальних обчислювальних мереж і надає доступ до локальних обчислювальних мереж та інших засобів автоматизованої обробки інформації.

Регулювання взаємоз'єднання телекомунікаційних мереж здійснювалося відповідно до Закону України “Про телекомунікації” та Правил взаємоз'єднання телекомунікаційних мереж загального користування. Національна комісія, що здійснює державне регулювання у сфері зв'язку та інформатизації (НКРЗІ), своїм рішенням від 31 березня 2015 р. № 174 затвердила нову редакцію Правил взаємоз'єднання телекомунікаційних мереж загального користування, за якими введені новації та встановлено, що:

- реалізація проектної пропускної спроможності точки взаємоз'єднання може відбуватись поетапно, за результатами вимірювань фактичного навантаження відповідно до договору про взаємоз'єднання;

- можлива оплата ініціатором тільки частки запроектованої пропускної спроможності точки взаємоз'єднання в обсязі, достатньому для реалізації відповідного етапу;

- одноразова плата за доступ до телекомунікаційної мережі може бути замінена на розрахункову таксу за доступ, яка сплачується ініціатором одночасно з оплатою за послуги пропуску трафіку;

- заборонено блокувати в точках взаємоз'єднання весь вхідний трафік, за винятком трафіку, який надходить із порушенням порядку маршрутизації трафіку, трафік, пропуск якого не передбачений договором, або у разі наявності заборгованості за пропуск такого трафіку.

Крім того, встановлені технічні, організаційні та економічні умови взаємоз'єднання з телекомунікаційними мережами, що стосуються операторів телекомунікацій з істотною ринковою перевагою на ринках певних телекомунікаційних послуг та порядок визначення економічних умов взаємоз'єднання мереж [4].

Слід зазначити, що мережа Інтернет може розглядатися як технологічна надбудова над мережею електрозв'язку, що забезпечує надання послуг передачі і обробки інформації (наприклад електронна пошта, телеконференції, передача файлів, доступ до обчислювальних і інформаційних систем у локальних обчислювальних мережах).

Надання послуг передачі й обробки інформації, інших інформаційних послуг у мережі Інтернет здійснюється в просторі цифрових адрес або доменних імен (різновиди цифрових ідентифікаторів об'єктів комунікації). Регулювання відносин у галузі розподілу цифрових ідентифікаторів і підтримання їх в актуальному стані здійснюється поза територією України. Відповідно використання цифрових ідентифікаторів об'єктів мережі Інтернет, а також забезпечення безпеки процесу їх використання здійснюється на основі міжнародного правового регулювання.

На нашу думку, основну загрозу безпеці АСУ критично важливих об'єктів інформаційної інфраструктури становлять цілеспрямовані дії на інформаційні системи та інформаційно-телекомунікаційні мережі програмно-технічними засобами. Тому правове забезпечення безпеки КІІ має включати дві основні складові - національну і міжнародну.

Національна складова правового забезпечення безпеки КІІ може бути утворена сукупністю принципів, правових інститутів і норм, закріплених національним законодавством, регулюючих публічні відносини в Україні у сфері протидії загрозам безпеки АСУ критично важливих об'єктів.

Суспільні відносини в галузі забезпечення безпеки АСУ критично важливих об'єктів інформаційної інфраструктури, що забезпечують взаємодію цих об'єктів, регулюються законодавством та регламентуючими документами. Українське законодавство щодо захисту об'єктів, які згідно зі світовою практикою відносять до критичної інфраструктури, є достатньо розгалуженим і включає численні нормативно-правові акти, які, проте, мають переважно відомчий характер.

Для забезпечення захисту найбільш важливих об'єктів КІІ необхідно насамперед ідентифікувати ці об'єкти. Чинне законодавство визначає такі категорії об'єктів, для яких встановлюються особливі умови забезпечення їх захисту та функціонування: підприємства, які мають стратегічне значення для економіки та безпеки держави; особливо важливі об'єкти електроенергетики; особливо важливі об'єкти нафтогазової галузі; важливі державні об'єкти, у тому числі пункти управління органів державної влади та органів місцевого самоврядування; об'єкти можливих терористичних посягань; об'єкти, які підлягають охороні й обороні в умовах надзвичайних ситуацій і в особливий період; об'єкти, що підлягають обов'язковій охороні підрозділами Державної служби охорони за договорами; об'єкти підвищеної небезпеки (в тому числі Перелік особливо небезпечних підприємств, припинення діяльності яких потребує проведення спеціальних заходів щодо запобігання заподіянню шкоди життю та здоров'ю громадян, майну, спорудам, навколишньому природному середовищу; об'єкти, які включені до Державного реєстру потенційно небезпечних об'єктів; радіаційні небезпечні об'єкти, для яких розробляється об'єктова проектна загроза; об'єкти, які віднесені до категорій із цивільного захисту; об'єкти, що належать суб'єктам господарювання, проектування яких здійснюється з урахуванням вимог інженерно-технічних заходів цивільного захисту; чергово-диспетчерська система екстреної допомоги населенню за єдиним безкоштовним телефонним номером виклику екстрених служб; аварійно-рятувальні служби; Національна система конфіденційного зв'язку; платіжні системи; нерухомі об'єкти культурної спадщини [2].

Деякі із зазначених категорій об'єктів, частково або повністю, можуть бути віднесеними до об'єктів критичної інфраструктури.

Специфіка забезпечення інформаційної безпеки знайшла відображення в законах України “Про основи національної безпеки України” [5], “Про концепцію національної програми інформатизації” [6], “Про національну програму інформатизації” [7], а також у Концепції розвитку сектору безпеки і оборони України [8], Стратегії національної безпеки України [1], Стратегії кібербезпеки України [9].

У Законі України “Про основи національної безпеки України” вперше дано офіційну оцінку значущості й системної сутності інформаційної безпеки як невід'ємної складової національної безпеки України.

Стратегією національної безпеки визначено актуальні загрози національній безпеці та зазначено пріоритети для забезпечення інформаційної безпеки, кібербезпеки і безпеки інформаційних ресурсів та критичної інфраструктури.

Із зазначених пріоритетних напрямів наразі розроблено та затверджено лише Стратегію кібербезпеки України, якою визначено суб'єкти кібербезпеки та заходи забезпечення кібербезпеки України.

Принципи, на яких має базуватися забезпечення кібербезпеки України: верховенства права і поваги до прав та свобод людини і громадянина; забезпечення національних інтересів України; відкритості, доступності, стабільності та захищеності кібер-простору; державно-приватного партнерства, широкої співпраці з громадянським суспільством у сфері забезпечення кібербезпеки та кіберзахисту; пропорційності та адекватності заходів кіберзахисту реальним та потенційним ризикам; пріоритетності запобіжних заходів; невідворотності покарання за вчинення кіберзлочинів; пріоритетного розвитку та підтримки вітчизняного наукового, науково-технічного та виробничого потенціалу; міжнародного співробітництва з метою зміцнення взаємної довіри у сфері кібер- безпеки та вироблення спільних підходів у протидії кіберзагрозам, консолідації зусиль у розслідуванні та запобіганні кіберзлочинам, недопущення використання кіберпростору в протиправних та воєнних цілях; забезпечення демократичного цивільного контролю над утвореними відповідно до законів України військовими формуваннями і правоохоронними органами держави, що діють у сфері кібербезпеки [9].

З метою реалізації Стратегії кібербезпеки України Кабінетом Міністрів затверджено план заходів на 2017 р. із реалізації цієї Стратегії [10]. Цим планом передбачено подання в установленому порядку Кабінетові Міністрів України переліку інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави з метою його затвердження.

Фактично це перший крок до законодавчого визначення об'єктів критичної інфраструктури. Водночас реалізація положень державної політики в галузі забезпечення безпеки КІІ вимагає подальшого розвитку правових принципів і норм, що регулюють відповідні суспільні відносини, тобто національної складової правового забезпечення безпеки КІІ. Україна має забезпечити формування загальнодержавної системи оцінки ризиків та загроз критичній інфраструктурі, належну координацію органів державної влади та узгодження дій різних залучених осіб. Це також може потребувати визначення або створення відповідального державного органу та надання йому відповідних повноважень.

Вважаємо, що наступним кроком щодо забезпечення правового регулювання захисту критичної інфраструктури після законодавчого визначення основних термінів повинно були запровадження Порядку ідентифікації об'єктів критичної інформаційної інфраструктури.

Ідентифікація об'єктів КІІ в подальшому може бути здійснена шляхом запровадження паспортизації об'єктів критичної інформаційної інфраструктури. Такі паспорти мають містити загальні дані про об'єкт, дані щодо основних джерел небезпеки, дані про небезпечні природні умови, технологічні процеси та реагування на загрози тощо.

Міжнародна складова правового забезпечення безпеки КІІ передбачає регламентування сукупності принципів і норм, визначених міжнародними договорами і визнаних державою, що регулюють питання міжнародного співробітництва в цій сфері.

Підписання Угоди про асоціацію та подальша її ратифікація Україною і низкою країн-членів ЄС зумовлюють необхідність визначення першочергових кроків, які повинна зробити Україна у сфері захисту критичної інфраструктури з метою приведення своїх підходів у відповідність із підходами, які застосовуються в ЄС.

У 2004 р. ЄК оприлюднила офіційне повідомлення, в якому містився як огляд дій ЄК у цій сфері, так і пропозиції щодо додаткових заходів заради вдосконалення європейської системи запобігання, готовності та реагування стосовно терористичних атак, спрямованих проти елементів критичної інфраструктури ЄС. У повідомленні наголошується, що підхід до захисту критичної інфраструктури в усіх країнах ЄС повинен бути методологічно близьким. Забезпечити впровадження та реалізацію такого загального підходу мають Європейська програма захисту критичної інфраструктури (ЄПЗКІ) та Європейська інформаційна мережа попередження загроз критичній інфраструктурі [2].

Україна разом із державами-членами Ради Європи та іншими державами підписала Конвенцію про кіберзлочинність (яку ратифіковано), що набрала чинності в 2006 р. Конвенція спрямована на зупинення дій, спрямованих проти конфіденційності, цілісності і доступності комп'ютерних систем, мереж і комп'ютерних даних, а також зловживання такими системами, мережами і даними шляхом установлення кримінальної відповідальності за таку поведінку, надання повноважень, достатніх для боротьби з кримінальними правопорушеннями шляхом сприяння їхньому виявленню, розслідуванню та переслідуванню як на внутрішньодержавному, так і на міжнародному рівнях, і укладення домовленостей щодо швидкого та надійного міжнародного співробітництва.

Крім того, планом заходів на 2017 р. із реалізації Стратегії кібербезпеки України передбачено Імплементація Директиви 2008/114/ЄК щодо захисту критичної інфраструктури, зокрема з питань кібербезпеки та кіберзахисту об'єктів критичної інфраструктури.

З урахуванням розвитку системи міжнародної інформаційної безпеки можна виділити такі основні групи міжнародних відносин, що вимагають нормативного правового регулювання в рамках правового забезпечення безпеки КІІ: визначення меж національної КІІ в глобальній інформаційно-комунікаційній інфраструктурі та закріплення ознак комп'ютерних інцидентів в АСУ об'єктів критичної інформаційної інфраструктури.

Необхідність визначення меж національної частини глобальної інформаційно-комунікаційної інфраструктури зумовлена неможливістю встановлення стійкої прив'язки цифрових ідентифікаторів об'єктів інформаційної інфраструктури до національної території. Однак державний суверенітет країни передбачає закріплення загальновизнаних міжнародних національних меж, у тому числі в просторі об'єктів інформаційної інфраструктури.

Відсутність загальновизнаних кордонів державного суверенітету держав в цьому просторі є суттєвою перешкодою для застосування норм міжнародного права до дій інших держав. Зокрема, це перешкоджає встановленню меж відповідальності держав за порушення безпеки КІІ та організації міжнародного співробітництва у сфері протидії комп'ютерній злочинності і т. ін.

Як відомо, виділення цифрових ідентифікаторів об'єктів мережі Інтернет національним провайдерам, а також підтримка в актуальному стані відповідних інформаційних систем IP-адрес і доменних імен здійснюється американською некомерційною організацією ICANN і некомерційними організаціями RIP, зареєстрованими в різних державах світу. Дані організації не є суб'єктами міжнародного права і не володіють міжнародною правоздатністю, дієздатністю та не несуть юридичну відповідальність за шкоду, заподіяну її протиправними діями.

З цієї точки зору вони не можуть гарантувати стійкість виконання виділених функцій в умовах значної динаміки міжнародних відносин. Жодна держава або міжнародна організація не взяли на себе міжнародних правових зобов'язань щодо забезпечення стійкості і безпеки функціонування системи цифрових ідентифікаторів глобальної інформаційної інфраструктури. Усе це разом створює певні ризики порушення стійкості функціонування глобальної інформаційної інфраструктури.

Так, Група урядових експертів ООН вважає, що: державний суверенітет і повноваження держави давати правову оцінку фактам, розв'язувати ті чи інші правові питання є основою системи захисту національних інтересів, забезпечення національної безпеки, протидії загрозі зловмисного використання об'єктів КІІ проти прав і свобод громадян, інтересів суспільства та держави, порушення міжнародного миру й безпеки. Усі держави несуть головну відповідальність за забезпечення державної безпеки і безпеки своїх громадян, у тому числі в інформаційному середовищі [11].

Без встановлення просторових меж державного суверенітету в інформаційному середовищі взагалі і в мережі Інтернет зокрема, покладання такої відповідальності на держави не представляється можливим.

Про актуальності законодавчого закріплення ознак комп'ютерних інцидентів в АСУ об'єктів критичної інформаційної інфраструктури говорить широке застосування поняття “інцидент” в міжнародному праві. Так, поняття “міжнародний інцидент” зазвичай розкривається як невеликі, або обмежені дії чи аварія, результатом яких став широкий обмін думками між двома або більше національними державами.

Інцидент у кіберпросторі, зазвичай пов'язаний із порушенням функціонування складових кіберпростору - електронного середовища збирання й автоматизованої обробки інформації, що визначають процеси здійснення даних операцій, а також інформаційних систем і систем автоматизованого управління.

Сутність загального визначення “міжнародного інциденту” у сфері КІІ буде визначатися, насамперед, характером міжнародних відносин між державами, порушеними “інцидентом”. Ця подія може бути результатом непередбачених дій держави, у тому числі дій, що завдають шкоди інтересам публічних органів однієї чи більше держав, або, навпаки, бути одним із багатьох навмисних, але незначних провокацій, здійснюваних агентами однієї держави проти іншої держави. Наразі така політика проводиться Російською Федерацією.

З огляду на те, що міжнародні відносини в галузі інцидентів у сфері КІІ не регулюються міжнародними договорами, основним і, по суті, єдиним джерелом міжнародного права в даному випадку служить міжнародний звичай, однак, його застосування до сфери КІІ супроводжується значними складнощами.

Для України можливе запровадження позитивного досвіду інших держав у сфері безпеки КІІ, зокрема проблема забезпечення безпеки інформаційних технологій, була закріплена в міжнародному стандарті ISO/IEC 15408 “Загальні критерії оцінки безпеки інформаційних технологій”.

Для обговорення на міжнародному рівні та вироблення стандартів у галузі управління та контролю інформаційними технологіями в 1998 р. засновано Інститут управління інформаційними технологіями (IT Governance Institute, ITGI). Ним видано стандарт “Цілі контролю для інформаційних та суміжних технологій” (CobiT®), яким надано хороші практики управління та контролю інформаційних технологій. Ці хороші практики являють собою сукупність дій, викладених у вигляді керованої та логічної структури. Передові практики, викладені в CobiT®, являють собою узгоджене бачення багатьох експертів, які брали участь у розробці цієї методології, є загальнодоступними для використання при розробці нормативно-правових актів України.

Висновки і перспективи подальших досліджень

Суспільні відносини в галузі забезпечення безпеки КІІ в Україні на даний час не врегульовані законодавством. Доцільним, на нашу думку, є спрямування розвитку правового забезпечення безпеки КІІ в рамках реалізації положень Стратегій та Концепцій в цій сфері.

Запропоновані в статті інструменти вдосконалення механізмів правового забезпечення безпеки КІІ враховують розподіл правового забезпечення безпеки КІІ на національну та міжнародну складові. Зокрема, для національної складової правового забезпечення безпеки КІІ таким інструментом може бути Порядок ідентифікації об'єктів критичної інформаційної інфраструктури та запровадження, відповідно до нього, паспортизації об'єктів критичної інформаційної інфраструктури. Для міжнародної складової правового забезпечення безпеки КІІ - визначення меж національної КІІ в глобальній інформаційно-комунікаційній інфраструктурі та закріплення ознак комп'ютерних інцидентів в АСУ об'єктів КІІ, запровадження принципів і норм, що регулюють відповідні міжнародні стандарти.

У подальших дослідженнях, з урахуванням сформованого визначення КІІ та результатів цієї роботи, планується провести аналіз нормативно-правової бази розвинених держав світу та думки науковців щодо різних варіацій понятійно-категорійного апарату критичної інфраструктури та розглянути розподіл об'єктів критичної інфраструктури на сектори для наукової розробки методики віднесення певних об'єктів до критичної інформаційної інфраструктури.

Список використаних джерел