Організаційно-правові механізми гармонізації стандартів системи сертифікації обладнання для мереж п’ятого покоління (5G): готовність України та світовий досвід

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Організаційно-правові механізми гармонізації стандартів системи сертифікації обладнання для мереж п'ятого покоління (5G): готовність України та світовий досвід

Андрій Семенченко, член НКРЗІ, Заслужений діяч науки і

техніки України, доктор наук з державного управління,

професор кафедри інформаційних технологій,

Київський національний університет культури і мистецтв

Лілія Олексюк, кандидат наук з державного управління, юрист, член Української сторони Платформи громадянського суспільства та голова громадської організації «Всеукраїнська асоціація «Інформаційна безпека та інформаційні технології» старший викладач, ІВК КНТЕУ



Анотація

У статті наведено результати дослідження стану системи сертифікації в Україні, нормативно-правові основи технічного регулювання, основні завдання та спроможності цієї системи реалізувати сертифікацію кібербезпеки засобів електронних комунікацій та кінцевого (термінального) обладнання в електронних комунікаційних мережах, що використовуються при розгортанні високошвидкісних мереж широкосмугового доступу (рухомого (мобільного) зв'язку п'ятого та наступних поколінь). Проаналізовано основні вимоги до безпечності та якості продукції, що містяться у технічних регламентах ЄС та є обов'язковими для виконання державами-членами, та окреслені в Регламенті Ради ЄС № 765/2008 від 9 липня 2008 р., Рішенні Європейського Парламенту та Ради ЄС № 768/2008 від 9 липня 2008 р. Оцінено стан готовності національної системи сертифікації щодо гармонізації стандартів системи сертифікації обладнання для мереж п'ятого покоління (5g), насамперед її організаційного та правового забезпечення. Визначено основні ризики кібербезпеки мережі 5G, сценарії їх виникнення, основні підходи щодо зменшення їх рівня за результатами аналізу та узагальнення як міжнародного досвіду провідних держав-членів ЄС (Німеччини, Французької Республіки, Естонської Республіки, Королівства Швеції, Австрії, Нідерландів), так і базових європейських документів та досліджень в цій сфері, насамперед Звіту з оцінки ризиків Комісії та Агентства ЄС з питань мережевої та інформаційної безпеки та Інструментарію по зменшенню ризиків. З урахуванням міжнародного та національного досвіду запропоновано пріоритетні напрямки удосконалення організаційних та правових механізмів публічного управління національною системою сертифікації щодо гармонізації стандартів системи сертифікації обладнання для мереж п'ятого покоління (5G).

Ключові слова: сертифікація, технічне регулювання, кібербезпека, технічні бар'єри, технічні засоби, оцінка відповідності, метрологія, стандартизація, технічні заходи.



Andrey Semenchenko

Member of the NCRC, professor of the Department of Information Technologies of the Kiev National University of culture and Arts, Doctor of Sciences in public administration, professor, Honored Worker of Science and technology of Ukraine

Lilia Oleksiuk

Candidate of Science in Public Administration, Lawyer, Member of the Ukrainian side of the Civil Society Platform and Chairman of the All-Ukrainian Association "Information Security and Information Technologies" Senior Lecturer, KNTEU

ORGANIZATIONAL-LEGAL MECHANISMS OF HARMONIZATION OF STANDARDS OF CERTIFICATION SYSTEM FOR FIFTH GENERATION NETWORK (5G) EQUIPMENT: READINESS OF UKRAINE AND WORLD EXPERIENCE

Abstract

The article presents the results of the study of the state of the certification system in Ukraine, the regulatory framework of technical regulation, the main objectives and capabilities of this system to implement certification of cybersecurity of electronic communications and end (terminal) equipment in electronic communications networks used in the deployment of high-speed broadband access networks. mobile (mobile) communications of fifth and subsequent generations). The basic safety and quality requirements which are included in the EU technical regulations and binding for the member-states and outlined in the EU Council Regulation No. 765/2008 of July 9, 2008 and European Parliament and Council Decision No. 768/2008 of July 9, 2008 have been analyzed. The state of readiness of the national certification system to harmonize the standards of the fifth generation (5g) network equipment certification, especially its organizational and legal support has been assessed.

The main cybersecurity risks of the 5G network, scenarios of their occurrence, the main approaches to reducing their level were determined based on the results of the analysis and generalization of both international experience of leading EU member states (Germany, French Republic, Republic of Estonia, Kingdom of Sweden, Austria, Netherlands) and basic European documents and studies in this area, first of all the Risk Assessment Report of the EU Commission and Agency on Network and Information Security and Risk Mitigation Toolkit. Taking into account international and national experience, the priority areas for improvement of organizational and legal mechanisms of public management of the national certification system for harmonization of standards of the certification system of equipment for fifth generation (5g) networks are proposed.

Keywords: certification, technical regulation, cybersecurity, technical barriers, technical means, conformity assessment, metrology, standardization, technical measures.



Вступ

Постановка проблеми. Обравши європейський шлях розвитку та уклавши Угоду про асоціацію з Європейським Союзом, Україна зобов'язалась в обумовлений термін гармонізувати національні технічні стандарти та привести систему сертифікації у відповідність з європейськими нормами та взяла на себе зобов'язання у сфері електронних телекомунікацій, у тому числі з питань сертифікації кібербезпеки мереж. Враховуючи динамічний та масштабний розвиток електронних комунікацій та послуг на основі сучасних технологій мобільного зв'язку 5G, їх проникнення майже в усі сфери суспільного буття, в ЄС визначено обов'язкові умови для їх запуску, насамперед, розподіл частотного спектру, формування та забезпечення виконання вимог щодо безпеки інфраструктури, необхідної для надання цих послуг. З цією метою в ЄС були розроблені Рекомендації ЄК від 2019/534 щодо кібербезпеки мереж 5G [1] та в рамках Спеціальної робочої групи (EU5G AHWG) ENISA ведеться активна робота з розробки європейської схеми сертифікації кібербезпеки (схема G для ЄС) [2]. Європейської комісії та Агентства ЄС з кібербезпеки (ENISA), провела скоординовану ЄС оцінку ризиків у мережах 5G.

Незважаючи на те, що у 2020 році було затверджено План заходів щодо впровадження в Україні системи рухомого (мобільного) зв'язку п'ятого покоління [3], залишається актуальною проблема його практичної реалізації, у тому числі щодо запровадження системи сертифікації кібербезпеки 5G, яка максимально враховує кращий досвід держав-членів ЄС в цій сфері.

Зазначена проблема знайшла своє конкретне відображення, у тому числі, в Плані реалізації Стратегії кібербезпеки України [4], насамперед в п.63 та п.65 Цілі К.3. Безпечні цифрові технології, які спрямовані на її розв'язання.

Аналіз останніх досліджень і публікацій. Варто зазначити, що на сьогоднішній день в Україні відсутні наукові дослідження з питань сертифікації обладнання для мереж п'ятого покоління (5G) та послуг, що надаються за її використання. Натомість маємо низку законодавчих актів та результати обговорень фахівців цієї сфери.

Метою статті є аналіз та узагальнення європейського та національного досвіду щодо сертифікації обладнання для мереж п'ятого покоління (5G), оцінювання стану розвитку правових та організаційних механізмів публічного управління сертифікації мереж 5G, формування напрямків їх удосконалення в Україні.

Методи дослідження. У статті використано методи теоретичних досліджень - аналізу та синтезу, контент-аналізу, системний метод. У процесі дослідження також використано методи формалізації, абстрагування, а також частково дедукції та індукції, що відображено у запропонованих висновках і рекомендаціях за підсумками проведеного дослідження.

сертифікація кібербезпека комунікаційна мережа



Виклад основного матеріалу

Глобалізація, практичне та всеохоплююче впровадження концепції вільної торгівлі потребує узгоджень та уніфікації процедур (вимог) стосовно товарів і послуг, які поширилися і на систему технічного регулювання, що включає сфери метрологію, стандартизацію, оцінку відповідності та акредитацію органів з оцінки відповідності.

Основоположними документами, що визначали в останні роки державну політику у сфері технічного регулювання в Україні, були Стратегія та План заходів реформування системи технічного регулювання до 2020 р.[3,4]. Ці документи вимагають розроблення технічних регламентів та інших нормативно-правових актів у повній відповідності з аналогічними директивами і регламентами ЄС.

Основні засади технічного регулювання електронних комунікацій в Україні визначені у статтях 36 - 38 Закону України «Про електронні комунікації»[5]. Згідно з цим законом умовами застосування технічних засобів електронних комунікацій та кінцевого (термінального) обладнання в електронних комунікаційних мережах є їх відповідність технічним вимогам та/або технічним регламентам. Технічні засоби електронних комунікацій та кінцеве (термінальне) обладнання повинні мати виданий у встановленому законодавством порядку документ про відповідність.

Оцінка відповідності технічних засобів електронних комунікацій та кінцевого (термінального) обладнання здійснюється відповідно до Закону України «Про технічні регламенти та оцінку відповідності» з урахуванням вимог Закону України «Про електронні комунікації».

Відповідно до статті 5 Закону України «Про технічні регламенти та оцінку відповідності» [6] Кабінет Міністрів України затвердив Технічний регламент радіообладнання; план заходів із впровадження Технічного регламенту радіообладнання[7].

Стандартизація у сферах електронних комунікацій та радіочастотного спектра здійснюється відповідно до Закону України «Про стандартизацію» з урахуванням вимог рекомендацій Міжнародного союзу електрозв'язку.

У сферах електронних комунікацій та радіочастотного спектра застосовуються нормативні документи Міжнародного союзу електрозв'язку (MCE), а також документи Європейської конференції адміністрацій пошт та телекомунікацій (СЕРТ), Європейської комісії з комунікацій (ECC), Європейського інституту телекомунікаційних стандартів (ETSI) шляхом посилання на них у нормативно-правових актах.

Рекомендації Міжнародного союзу електрозв'язку та стандарти Європейського інституту телекомунікаційних стандартів та міжнародних організацій зі стандартизації є основою для заохочення гармонізації електронних комунікацій та користування радіочастотним спектром.

Метрологічна діяльність у сферах електронних комунікацій та радіочастотного спектра здійснюється відповідно до Закону України «Про метрологію та метрологічну діяльність».

Але законодавчі акти, що регулюють сферу технічного регулювання та закони України «Про основні засади забезпечення кібербезпеки України» та «Про електронні комунікації» не містять приписів щодо запровадження сертифікації кібербезпеки.

План заходів щодо впровадження в Україні системи рухомого (мобільного) зв'язку п'ятого покоління також не враховує Закон ЄС про кібербезпеку [3], який запровадив систему сертифікації кібербезпеки на рівні Європейського Союзу, посилив та остаточно утвердив позиції Агентства Європейського Союзу з кібербезпеки (ENISA) в новій системі сертифікації кібербезпеки та Рекомендації Європейської Комісії від 2019/534 щодо кібербезпеки мереж 5G та не містить завдань, спрямованих на започаткування заходів безпеки мережі 5G.

Система технічного регулювання в ЄС вважається найбільш ефективним та успішним прикладом усунення технічних бар'єрів. Основні вимоги до безпечності та якості продукції містяться у технічних регламентах ЄС та є обов'язковими для виконання державами-членами, в той час як гармонізовані стандарти ЄС є добровільними. Відповідність продукції одному із гармонізованих стандартів ЄС (розробляються у рамках технічних регламентів) розглядається як загальне виконання базових вимог, передбачених тим чи іншим технічним регламентом. Загальний порядок та умови розміщення продукції на внутрішньому ринку ЄС, проведення робіт з оцінки відповідності та акредитації, а також механізм ринкового нагляду окреслені у Регламенті Ради ЄС № 765/2008 від 9 липня 2008 року [9] та Рішенні Європейського Парламенту та Ради ЄС № 768/2008 від 9 липня 2008 року [10].

14 червня 2019 року Рада ЄС ухвалила Регламент про ринковий нагляд та відповідність продукції, яким внесено зміни до Директиви 2004/42/ЕС та регламентів (ЕС) 765/2008 і (EU) 305/2011 [9]. Ухвалення Регламенту посилило зусилля ЄС щодо забезпечення розміщення на ринку ЄС лише тієї продукції, яка є безпечною та відповідає чинному законодавству ЄС.

Європейською комісією 26 березня 2019 року була затверджена Рекомендація 2019/534 по кібербезпеці 5G мереж, яка зобов'язує держави- члени вжити ряд заходів з оцінки ризиків кібербезпеки та вироблення кращих практик захисту з метою управління такими ризиками на національному рівні та на рівні ЄС. Було визначено 5G мережу як сукупність відповідних елементів інфраструктури для мобільного та бездротового зв'язку, який використовується для з'єднання та додаткових видів обслуговування з характеристиками виконання нового покоління, такими як спроможність передавати надзвичайно великі обсяги даних за короткий час, низька затримка комунікації, висока надійність, підтримка великої кількості з'єднаних пристроїв. Така мережа може включати елементи мобільного та бездротового зв'язку попередніх поколінь телекомунікаційних технологій, таких як 4G або 3G та повинна розумітися як така, що включає усі елементи, які забезпечують її існування.

У липні 2019 року держави-члени надали результати оцінки ризиків, викладені у формі анкети, до Комісії та Агентства Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA). За результатами опрацювання цих анкет та за підтримки ENISA державами-членами було опубліковано Звіт щодо проведеної за ініціативою Європейського Співтовариства оцінки ризиків кібербезпеки у мережах 5G [11].

Основні ризики та сценарії їх виникнення, про які йдеться у Звіті, наступні:

1. Ризики, пов'язані з неналежним захистом мережі. Такі ризики виникають як через недостатність засобів захисту, визначених конфігурацією мережі під час її встановлення, так і значною кількістю постачальників послуг для її обслуговування, які потенційно можуть вносити зміни до конфігурації мережі, перенаправлять та відстежувати трафік, обходити впроваджені оператором механізми аудиту мережі.

Усі зазначені постачальники послуг мають потенційні можливості неправомірного доступу та втручання у роботу мережі, яке може скомпроментувати її конфіденційність, цілісність та/або призвести до втрати оператором контролю (доступу) до мережі.

2. Ризики, пов'язані з ланцюгом поставок. До них відноситься: низька якість мережевого обладнання 5G, отримати несанкціонований доступ до якого стає можливим через недоліки у програмуванні або інженерному виконанні такого обладнання; залежність від одного постачальника, що може мати наслідком порушення роботи мережі, якщо постачальник обладнання не здійснить його своєчасної заміни та/або своєчасно не виправить недоліки програмного забезпечення у роботі обладнання.

Слід також враховувати, що розгортання 5G мережі здійснюється поступово і на першому етапі за рахунок оновлення програмного забезпечення можуть використовуватись точки радіо-доступу 4G мереж. Таким чином, безпека майбутньої 5G мережі буде додатково залежати від якості обладнання, встановленого раніше для 4G мережі.

3. Ризики, пов'язані зі способами роботи носіїв загрози. Вони залежать від мотивів та засобів, які є в розпорядженні носія кіберзагрози [12].

Однією із серйозних загроз держави-члени ЄС вважають операторів мереж 5G та постачальників обладнання, які контролюються третіми країнами і від яких держава їх походження може вимагати вчинення неправомірних дій з метою шпигування або одержання конкурентних переваг на ринку.

4. Ризики, пов'язані з взаємозалежністю мережі 5G та об'єктами критичної інфраструктури. З одного боку, недоліки мережі 5G можуть бути використані для кібератаки на такі об'єкти критичної інфраструктури, які виконують функції у галузі здоров'я, безпілотних приладів, газо та водопостачання, оборони, що може призвести до зупинки та руйнування таких систем. З іншого боку, атака на електромережі та системи сповіщення про несанкціоноване втручання у мережу, може стати методом одержання контролю злочинцем над 5G мережею.

5. Ризики, пов'язані з недоліками приладів кінцевих споживачів. Вони випливають як із факту очікуваного зростання кількості таких приладів та їх одночасного під'єднання до мережі 5G, так і зі слабкими вбудованими функціями безпеки таких приладів. Наслідки одночасного під'єднання до мережі 5G надвеликої кількості незахищених пристроїв можуть бути вкрай серйозними.

На основі визначених державами-членами основних загроз, Група по співробітництву у сфері безпеки мереж та інформаційних систем (NIS cooperation group) підготувала Інструментарій по зменшенню ризиків кібербезпеки мережі 5G (Cybersecurity of 5G networks EU Toolbox of risk mitigating measures) [13].

Загальноєвропейське регулювання кібербезпеки Інтернет-мережі включає: Директиву ЄС 2016/1148 з безпеки мереж та інформаційних систем (NIS Directive); Закон про кібербезпеку (the Cybersecurity Act), який запровадив систему сертифікації кібербезпеки на рівні Європейського Союзу, посилив та остаточно утвердив позиції ENISA в новій системі сертифікації кібербезпеки; Європейський кодекс електронних комунікацій.

З метою зменшення ризиків кібербезпеки мережі 5G Інструментарій рекомендує державам-членам вжити ряд практичних заходів, об'єднаних у три групи:

1) Стратегічні заходи (strategic measures):

посилення ролі національних регуляторів (SM01); здійснення аудиту операторів та збір інформації (SM02);

оцінка ризик-профілю постачальників та застосування обмежень до постачальників,

ризик-профіль яких визначено як високий (SM03);

контроль за постачальниками послуг з адміністрування (MSPs) та постачальників

обладнання третьої черги підтримки (SM04);

забезпечення різноманітності постачальників для кожного оператора за допомогою стратегії багатьох постачальників (SM05);

забезпечення стійкості на національному рівні (SM06);

визначення ключових об'єктів і впровадження різноманітної та життєздатної 5G

екосистеми в ЄС (SM07);

підтримка та побудова різноманітності та потенціалу ЄС у майбутніх мережевих технологіях (SM08).

2) Технічні заходи (technical measures):

забезпечити застосування основних вимог безпеки до дизайну та архітектури мережі (TM010);

забезпечити та прискорити імплементацію заходів безпеки існуючих 5G стандартів (TM02);

забезпечити жорсткий контроль доступу (TM03);

збільшувати безпеку віртуалізованих мережевих функцій (TM04);

забезпечити безпеку управління, виконання операцій та моніторингу 5G мережі (TM05) посилити фізичну безпеку (TM06);

посилити цілісність, оновлення та виправлення помилок програмного забезпечення (TM07);

посилення стандартів безпеки бізнес-процесів постачальника завдяки жорстким умовам поставок (TM08);

використовувати сертифікацію ЄС для компонентів 5G мережі, обладнання замовника та/або бізнес-процесів постачальника (TM09);

для інших продуктів та послуг у сфері інформаційно-комунікаційних технологій, які не є 5О-специфічними (підключені прилади (connected devices), хмарні послуги) також використовувати сертифікацію ЄС (TM10);

запровадити плани щодо посилення стійкості та безперервності роботи мереж (TM11)

3) Заходи з підтримки (supporting actions):

перегляд та створення керівних настанов та кращих практик мережевої безпеки (SA01); збільшення потенціалу у галузі тестування та аудиту на національному та загальноєвропейському рівнях (SA02);

підтримка та розробка стандартів у галузі 5G (SA03);

створення керівних настанов щодо імплементації існуючих стандартів 5G (SA04); забезпечення дотримання технічних стандартів та організаційних заходів з безпеки завдяки загальноєвропейській схемі сертифікації (SA05);

обмін найкращими практиками впровадження стратегічних заходів, особливо в частині оцінки ризик-профілю постачальників (SA06);

розвиток взаємодії у сферах реагування на інциденти та кризового менеджменту (SA07) проведення аудиту взаємозалежності між 5G мережею та іншими критично важливими послугами (SA08);

вдосконалення механізмів співпраці, координації та обміну інформацією (SA09); забезпечення врахування ризиків кібербезпеки під час впровадження 5G проектів, які фінансуються за рахунок публічних фондів (SA10).

Аналіз Звіту держав-членів щодо прогресу в імплементації Інструментарію по зменшенню ризиків кібербезпеки мережі 5G (EU 5G Toolbox) [14], дозволяє виділити наступні акценти та виклики, з якими стикаються держави -члени під час імплементації зазначених заходів:

надання регуляторним органам права регулювати вимоги до постачальників обладнання мережі 5G та постачальників послуг для її обслуговування, з правом забороняти встановлення обладнання та/або програмного забезпечення для мережі 5G або навіть вимагати його демонтажу;

використання регуляторними органами повноважень з ретроспективним ефектом, оскільки для розгортання мережі 5G може використовуватись вже наявне обладнання та послуги;

відмінність обсягу повноважень регулятора у розрізі різних суб'єктів (залежно від ризик- профілю) та об'єктів 5G мережі (залежно від вразливості об'єкта або сфери його використан

необхідність розроблення національної методології аудиту та комплаєнсу безпеки 5G мережі;

необхідність розроблення методології оцінки ризик-профілю постачальників обладнання або програмного забезпечення для 5G мережі, встановлення для операторів мереж перехідного періоду у разі виявлення фактичної залежності від постачальника з високим ризик-профілем;

визначення переліків вразливого обладнання та послуг для 5G мережі, які вимагають спеціального регулювання;

визначення об'єктів критичної інфраструктури, які потребують спеціальних заходів безпеки у разі використання 5G технологій;

посилення вимог до прозорості відносин між операторами та постачальниками обладнання та послуг для 5G мережі;

визначення послуг для обслуговування 5G мережі, які оператори мають право передавати на аутсорсинг;

розробка стратегії багатьох постачальників, яка виявилась складним завданням, з огляду на розмір держави, реальну пропозицію відповідного обладнання на ринку, недостатню інтероперабельність обладнання різних постачальників;

складність стандартизації та сертифікації у сфері 5G технології, яка знаходиться у процесі розвитку.

Держави-члени вирішують зазначені виклики в різний спосіб, наприклад:

Німеччина. Основним законом, що регулює німецькі телекомунікаційні мережі, є Закон про телекомунікації (Telekommunikationsgesetz або TKG), при цьому організаційна система включає: Федеральне мережеве агентство, яке є національним органом регулювання телекомунікацій; Федеральне управління досліджує та контролює ризики безпеки, пов'язані з використанням ІТ; Управління інформаційної безпеки (Bundesamt fur Informationssicherheit in der Informationstechnik або BSI), яке також розробляє превентивні заходи безпеки з цього приводу.Завдання та повноваження BSI визначені у Законі про Федеральне відомство інформаційних технологій (Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik або BSIG).

У травні 2021 року прийнято Закон про ІТ-безпеку 2.0 [15], який залишає німецькі мережі 5G відкритими для всіх виробників обладнання, виключення з цього правила має бути обгрунтовано серйозними доказами об'єктивного ризику.

Закон від 18 травня 2021 про ІТ-безпеку 2.0 передбачає:

- розширення компетенції BSI у виявленні прогалин у безпеці та захисту від кібератак. Як центральний центр компетенції в галузі інформаційної безпеки BSI може розробити безпечне оцифрування і, серед іншого, встановити обов'язкові мінімальні стандарти для федеральної влади та більш ефективно контролювати їх;

- заборону використання критично важливих компонентів для захисту громадського порядку або безпеки в Німеччині. Оператори мережі також повинні відповідати високим вимогам безпеки, а критично важливі компоненти повинні бути сертифіковані. Закон забезпечує інформаційну безпеку в мобільних мережах 5G.

BSI є також Національним органом сертифікації кібербезпеки. Зокрема, відповідає за моніторинг та дотримання правил у рамках європейських схем сертифікації кібербезпеки. Дії з нагляду та сертифікації повинні бути суворо відокремлені одна від одної та здійснюватися незалежно.

BSI буде незалежним та нейтральним консультаційним центром для споживачів з ІТ - безпеки питань на федеральному рівні. Захист споживачів тепер є завданням BSI.

- введення єдиного знаку безпеки ІТ для громадян має зробити безпеку ІТ більш прозорою та відомою в майбутньому, продукти якої вже відповідають певним стандартам безпеки ІТ.

- розширення коло критичних інфраструктур розширено за рахунок включення сектора утилізації побутових відходів. Крім того, інші компанії, що становлять особливий суспільний інтерес (наприклад, виробники озброєнь або компанії з особливо великим економічним значенням), повинні будуть вжити певних заходів безпеки ІТ та будуть включені в надійний обмін інформацією з BSI.

Водночас, за німецьким законодавством оператори телекомунікаційних мереж загального користування та провайдери загальнодоступних телекомунікаційні служби повинні призначити офіцера безпеки та представити технічні та організаційні заходи захисту, які вони здійснили в концепції безпеки до Федерального мережевого агентства відповідно до розділу 10 §§ 164 - 183 TKG[16].

Дотримання цих вимог безпеки є обов'язковим для всіх компанії. Федеральне мережеве агентство регулярно перевіряє реалізацію концепцій безпеки(тобто принаймні кожні два роки).Основа концепції безпеки та технічних заходів та інших заходів, які необхідно вжити операторам є «Каталог вимог безпеки до функціонування телекомунікацій та даних системи обробки та обробки персональних даних відповідно до розділу 10 TKG» (Каталог Безпеки), який був розроблений Федеральним мережевим агентством за погодженням з BSI і Федеральним комісаром із захисту даних та свободи інформації.

Естонська Республіка. В Естонії на рівні закону передбачено право уряду встановлювати вимоги до оператора та обов'язок останнього надавати інформацію відносно мережевого обладнання та його програмного забезпечення. Обладнання та програмне забезпечення для потреб оборони використовуються за дозвільним принципом. Процедурні питання мають бути врегульовані підзаконними актами [14].

Королівство Швеція. Змінами до Закону про електронні комунікації Швеції передбачено, що використання передавачів радіохвиль може бути дозволено тільки за умови, що це не шкодить національній безпеці. Відповідність умовам безпеки є обов'язковою для учасників аукціонів щодо набуття права на використання радіочастот для 5G мережі.

Австрія. Відповідно до законодавства Австрії, оператори 5G мережі повинні виконувати вимоги Системи управління інформаційною безпекою відповідно до ISO/IEC 27 001, стандартів 3GPP та подальших стандартів, двічі на рік звітувати регулятору про стан роботи мережі та своїх постачальників.

У Нідерландах, Декретом щодо безпеки та цілісності телекомунікаційних мереж від 28.11.2019 визначено ознаки, за якими можуть встановлюватись ознаки ризикових постачальників, зокрема, 1) передбачений законодавством країни, до якої належать контролери постачальника, обов'язок співпрацювати з державою для виконання розвідувальних або військових завдань; 2) контролером постачальника є держава; 3) країна походження постачальника належить до тих, які здійснюють або з огляду на поточний стан відносин можуть здійснювати агресивну розвідувальну політику відносно Нідерландів.

Підсумовуючи, можна констатувати, що на національному рівні триває імплементація EU 5G Toolbox; розробляться загальноєвропейські стандарти безпеки мереж та схеми їх сертифікації; продовжується впровадження раз ом із новим законодавством деталізовані технічні регламенти.

Виконавчий директор Агентства ЄС з кібербезпеки Юхан Лепасаар сказав: «Сертифікація мереж 5G є наступним логічним кроком у Стратегії кібербезпеки ЄС на цифрове десятиліття. Нова ініціатива ґрунтується на вже вжитих діях щодо зниження ризиків кібербезпеки, пов'язаних із технологією 5G» [16].

3 лютого 2021 року Європейська комісія зробила заяву щодо розгортання на території держав-членів загальноєвропейської схеми сертифікації кібербезпеки для мереж 5G з метою усунення технічних вразливостей мобільного зв'язку наступного покоління.

ENISA продовжить підготовку нової схеми сертифікації кібербезпеки для 5G. Цей крок випливає з набору інструментів ЄС для безпеки 5G (EU 5G Toolbox), і очікується, що він сприятиме подальшому підвищенню кібербезпеки мереж 5G, оскільки він сприяє усуненню певних ризиків у рамках більш широкої стратегії зниження ризиків.

Підготовка схеми ЄС 5G включає визначення засобів для сертифікації кібербезпеки мережі 5G, компоненти та процеси.

Проект ENISA буде зосереджений на наступних прикладах використання сертифікації кібербезпеки: Постачання та розгортання ідентифікованого мережевого обладнання 5G; Управління ідентифікаторами передплатників; Віддалена підготовка SIM-картки; Аутентифікація 5G (включно з роумінгом); Абонентські послуги підключення; Коло повноважень.

Цей процес планується проводити у співпраці з Асоціацією GSMA та широким колом зацікавлених сторін у використанні 5G, таких як промисловість, організації, державні установи, органи ЄС та/або національні органи, офіси чи агентства, стандартизація організації та міжнародні організації.



Висновки та напрями подальших досліджень

Підсумовуючи дослідження стану системи сертифікації в Україні, нормативно-правові основи технічного регулювання, основні завдання та можливості цієї системи реалізувати сертифікацію кібербезпеки засобів електронних комунікацій та кінцевого (термінального) обладнання в електронних комунікаційних мережах, що використовуються при розгортанні високошвидкісних мереж широкосмугового доступу (рухомого (мобільного) зв'язку п'ятого та наступних поколінь).

Організаційні заходи.

- Розробити дорожню карту розвитку безпечного 5G в Україні як один із заходів імплементації Стратегії розвитку цифрової економіки України та досягти до 2030 року наступних амбітних цілей;

- Забезпечити доступність стандартів для початкового розгортання мережі 5G та їх подальшу цілісну розробку, залучати країни до участі у міжнародних та міжіндустріальних партнерствах з метою тестування мережі 5G та створення умов для цифровізації індустрії;

- Розробити стратегію розвитку державно-приватного партнерства за рахунок як коштів приватного сектору, так і європейських фінансових організацій, з метою впровадження та тестування технології 5G.

- Визначити повний перелік спектру радіохвиль, які можуть бути використані для впровадження технології 5G (як нижче так і вище 6 Ггц) із закріпленням окремих вимог до користувачів хвиль вище 6 Ггц;

- Створити орган з оцінки відповідності (лабораторія) та акредитувати його відповідно до обраної схеми сертифікації;

- Започаткувати вивчення питань з розробки схем сертифікації кібербезпеки, хмарних сервісів та обладнання для мереж 5G та використання, адаптацію існуючих сертифікації в Україні.

- Запровадити моніторинг діяльності Ad-Hoc Working Group 03 - on 5G.

Нормативно-правові та заходи технічного регулювання.

- врегулювати доступ до інфраструктури та критичної інфраструктури для побудови електронних комунікаційних мереж;

- завершити ухвалення проекту закону про хмарні послуги;

- надати повноваження органу, що буде здійснювати реалізацію політики у сфері кібербезпеки перевіряти виконання вимог із забезпечення кібербезпеки електронних комунікаційних мереж та їх ланцюга постачальників;

- переглянути та сформувати перелік стандартів для розвитку системи оціночних стандартів системи сертифікації кібербезпеки та кібербезпеки 5G;

- актуалізувати міжнародний статус національного органу України з акредитації органів оцінки відповідності щодо транскордонного визнання сертифікації інформаційної та кібербезпеки;

-внести зміни до законодавчих актів України щодо врегулювання питання сертифікації кібербезпеки та кібербезпеки мереж 5G, вимог до постачальників послуг мобільного зв'язку;

- доповнити статтю 36 Закону України “Про електронні комунікації” частиною третьою такого змісту:

«3. Умовами застосування технічних засобів електронних комунікацій та кінцевого (термінального) обладнання при розгортання високошвидкісних мереж широкосмугового доступу (у тому числі, при розгортанні рухомого (мобільного) зв'язку п'ятого та наступних поколінь) є їх відповідність схемам (моделям) сертифікація у сфері кібербезпеки та одержання в установленому законодавством порядку документу відповідно до законодавства у сфері кібербезпеки»



Література

1. Рекомендація Комісії (ЄС) щодо кібербезпеки мереж прийнята 26 березня 2019 року. 2019/534. Офіційний вісник Європейського Союзу L 88/42 2019. 29 березня URL: https://www.kmu.gov.Ua/storage/app/sites/1/55-GOEEI/rekomendatsiya-komisii-es-2019534.pdf

2. Ad-Hoc Working Group 03 - on 5G Cybersecurity Certification. The European Union Agency for Cybersecurity (ENISA): Official site. URL: https://www.enisa.europa.eu/ topics/standards/adhoc_wg_calls/ad-hoc-working-group-on-5g-cybersecurity-certification [in Enlish]

3. КАБІНЕТ МІНІСТРІВ УКРАЇНИ РОЗПОРЯДЖЕННЯ від 11 листопада 2020 р. № 1409-р Про затвердження плану заходів щодо впровадження в Україні системи рухомого (мобільного) зв'язку п'ятого покоління https://zakon.rada.gov.ua/laws/show/1409-2020-%D1%80#Text

4. Указ Президента України Про рішення Ради національної безпеки і оборони України від 30 грудня 2021 року "Про План реалізації Стратегії кібербезпеки України" https://zakon. rada.gov. ua/l aws/ show/37/2022#Text

5. 1 січня 2022 року в Україні набув чинності Закон «Про електронні комунікації». http s://zakon.rada.gov.ua/l aws/ show/1089-20#Text

6. ЗАКОН УКРАЇНИ Про технічні регламенти та оцінку відповідності (Відомості Верховної Ради (ВВР), 2015, № 14, ст.96) https://zakon.rada.gov.ua/laws/show/124-19#Text

7. КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 24 травня 2017 р. № 355 Київ Про затвердження Технічного регламенту радіообладнання https://zakon.rada.gov.ua/laws/ show/355-2017-%D0%BF#Text

8. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) № 765/2008 від

9 липня 2008 року про встановлення вимог до акредитації та ринкового нагляду, пов'язаних з реалізацією продуктів, та про скасування Регламенту (ЄЕС) № 339/93

https://zakon.rada.gov.ua/laws/show/994_938#Text

9. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2019/1020 від 20 червня 2019 року про ринковий нагляд та відповідність продуктів, а також про внесення змін до Директиви 2004/42/ЄС та Регламенту (ЄС) № 765/2008 і Регламенту (ЄС) № 305/2011 https://zakon. rada.gov. ua/l aws/ show/984_012-19#Text

10. РІШЕННЯ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ № 768/2008/ЄС від 9 липня 2008 року про спільні рамки для реалізації продуктів та про скасування Рішення Ради 93/465/ЄЕС https://zakon.rada.gov.Ua/laws/show/994_b42#Text

11. Звіт щодо проведеної за ініціативою Європейського Співтовариства оцінки ризиків кібербезпеки у мережах 5G https://vaibit.org.ua/wp-content/uploads/2021/12/%D0% B7%D0%B2%D 1%96%D 1%82.pdf

12. Report. EU coordinated risk assessment of the cybersecurity of 5G networks. NIS

Cooperation Group 9 October 2019. P.13. URL: file:///C:/Users/Windows/Desktop/report eu_

risk_assessment_E4583F51-F351-6B15-A1317185D4FB353A_62132.pdf [in Enlish]

13. Cybersecurity of 5G networks EU Toolbox of risk mitigating measures. NIS Cooperation Group January 2020. URL: https://ccdcoe.org/uploads/2020/01/EU-200129- Cybersecurity-of-5G-networks-EU-Toolbox-of-risk-mitigating-measures.pdf / [in Enlish]

14. Report on Member States' Progress in Implementing the EU Toolbox on 5G Cybersecurity URL:https://digital-strategy.ec.europa.eu/en/library/report-member-states-progress- implementing-eu-toolbox-5g-cybersecurity/ [in Enlish]

15. IT-Sicherheitsgesetz 2.0 https://www.bgbl.de/xaver/bgbl/start.xav?startbk= Bundesanzeiger_ BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf% 27%5D__1653401253468

16. Telekommunikationsgesetz URL:http://www.gesetze-im-internet.de/tkg_2021/index.html# BJNR185810021BJNE011000000



References

1. Rekomendacya Komіsії (Є8) shhodo klberbezpeki merezh prijnjata 26 bereznja 2019 roku. 2019/534 [The Recommendation of the Commission (EU) on cybersecurity of networks was adopted on March 26, 2019. 2019/534]. (n.d). www.kmu.gov.ua Retrieved from https://www.kmu.gov.ua/storage/ app/sites/1/55 -GOEEI/rekomendatsiya-komi sii-es-2019534.pdf [in Ukrainain].

2. Ad-Hoc Working Group 03 - on 5G Cybersecurity Certification. The European Union Agency for Cybersecurity (ENISA): Official site. URL: https://www.enisa.europa.eu/topics/ standards/ adhoc_wg_calls/ad-hoc-working-group-on-5g-cybersecurity-certification [in English]

3. KABINET MINISTRIV UKRAJNI ROZPORJaDZhENNJa „Pro zatverdzhennja planu zaliodlv shhodo vprovadzhennja v Ukra'in sistemi ruhomogo (mobd'nogo) zv'jazku p'jatogo pokolmnja” [CABINET OF MINISTERS OF UKRAINE ORDER „On approval of the action plan for the implementation of the fifth generation mobile (mobile) communication system in Ukraine”]. (n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/1409-2020- %D1%80#Text [in Ukrainain].

4. Ukaz Prezidenta Ukraini „Pro rishennja Radi nacіonal'noї bezpeki і oboroni Ukraini "Pro Plan reaHzacn Strategn Mberbezpeki Ukraini"” [Decree of the President of Ukraine on the decision of the National Security and Defense Council of Ukraine "On the Implementation Plan of the Cyber Security Strategy of Ukraine"]. (n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/ laws/show/37/2022#Text [in Ukrainain].

5. 1 srnhnja 2022 roku v Ukraim nabuv chinnosti Zakon «Pro elektronm komumkacn» [On January 1, 2022, the Law on Electronic Communications entered into force in Ukraine]. zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/1089-20#Text [in Ukrainain].

6. ZAKON UKRAINI „Pro tehnichni reglamenti ta ocinku vidpovidnosti „ [LAW OF UKRAINE „On Technical Regulations and Conformity Assessment”]. (n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.Ua/laws/show/124-19#Text [in Ukrainain].

7. KABINET MINISTRIV UKRAINI POSTANOVA „Pro zatverdzhennja Tehnichnogo reglamentu radioobladnannja” [CABINET OF MINISTERS OF UKRAINE RESOLUTION „ On approval of the Technical Regulation of radio equipment”] (.n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/355-2017-%D0%BF#Text [in Ukrainain].

8. REGLAMENT CVROPEJS'KOGO PARLAMENTU І RADI (CS) „Pro vstanovlennja vimog do akreditaci'i ta rinkovogo nagljadu, pov'jazanih z realizacieju produktiv, ta pro skasuvannja Reglamentu (CES) № 339/93” [REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (EU) „Laying down the requirements for accreditation and market surveillance relating to the marketing of products and repealing the Regulation (EEC) № 339/93”]. (n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/994_938#Text [in Ukrainain].

9. REGLAMENT CVROPEJS'KOGO PARLAMENTU І RADI (CS) 2019/1020 „Pro rinkovij nagljad ta vidpovidnist' produktiv, a takozh pro vnesennja zmin do Direktivi 2004/42/CS ta Reglamentu (CS) № 765/2008 i Reglamentu (CS) № 305/2011” [REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (EU) 2019/1020 „On market surveillance and conformity of products and amending Directive 2004/42 / EC and Regulation (EU) № 765/2008 and the EU Regulation) № 305/2011”]. (n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/984_012-19#Text [in Ukrainain].

10. RIShENNJa CVROPEJS'KOGO PARLAMENTU І RADI № 768/2008/CS „Pro spil'ni ramki dlja realizacii produktiv ta pro skasuvannja Rishennja Radi 93/465/CES” [DECISION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL № 768/2008 / EU „On a common framework for the marketing of products and repealing Council Decision 93/465 / EEC”].(n.d). zakon.rada.gov.ua Retrieved from https://zakon.rada.gov.ua/laws/show/994_b42#Text [in Ukrainain].

11. Zvit shhodo provedenoi za iniciativoju Cvropejs'kogo Spivtovaristva ocinki rizikiv kiberbezpeki u merezhah 5G [Report on the European Community-initiated 5G cybersecurity risk assessment]. Retrieved from https://vaibit.org.ua/wp-content/uploads/2021/12/%D0%B7%D0% B2% D1%96%D1%82.pdf [in Ukrainain].

12. Report. EU coordinated risk assessment of the cybersecurity of 5G networks. NIS

Cooperation Group 9 October 2019. P.13. URL: file:///C:/Users/Windows/Desktop/report eu_

risk_assessment_E4583F51-F351-6B15-A1317185D4FB353A_62132.pdf [in English]

13. Cybersecurity of 5G networks EU Toolbox of risk mitigating measures. NIS Cooperation Group January 2020. URL: https://ccdcoe.org/uploads/2020/01/EU-200129- Cybersecurity-of-5G-networks-EU-Toolbox-of-risk-mitigating-measures.pdf / [in English]

14. Report on Member States' Progress in Implementing the EU Toolbox on 5G Cybersecurity URL:https://digital-strategy.ec.europa.eu/en/library/report-member-states-progress- implementing-eu-toolbox-5g-cybersecurity/ [in English]

15. IT-Sicherheitsgesetz 2.0 https://www.bgbl.de/xaver/bgbl/start.xav?startbk= Bundesanzeiger_ BGBl&jumpTo=bgbl121s1122pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf% 27%5D__1653401253468 [in English]

16. Telekommunikationsgesetz URL:http://www.gesetze-im-internet.de/tkg_2021/index.html# BJNR185810021BJNE011000000 [in English]

Размещено на Allbest.ru

...