НВ (Новое Время)
Хто зобов’язаний створювати підрозділ з кіберзахисту, а кому достатньо відповідальної особи
Це найпоширеніше непорозуміння довкола Закону 4336-IX. У публічних обговореннях часто звучить узагальнення «організації мають створювати підрозділи з кіберзахисту», і в такій загальній формі це не зов
Це найпоширеніше непорозуміння довкола Закону 4336-IX. У публічних
обговореннях часто звучить узагальнення «організації мають створювати
підрозділи з кіберзахисту», і в такій загальній формі це не зовсім точно. У SHERIFF КІБЕРБЕЗПЕКА ми
регулярно стикаємося з тим, що замовники витрачають ресурс на штатні рішення
там, де їх не вимагає закон. Розкладемо по поличкам.
Закон чітко розрізняє два суб'єкти.
Перший — органи державної влади. Якщо орган є власником або розпорядником інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси, службова інформація або інформація, що становить державну таємницю, то він зобов’язаний і утворити підрозділ з кіберзахисту, і призначити керівника з кіберзахисту, якому цей підрозділ безпосередньо підпорядковується. В органах місцевого самоврядування призначається особа, яка виконує функції та завдання керівника з кіберзахисту.
Другий суб'єкт — власники або розпорядники об'єктів критичної інформаційної інфраструктури. Тут закон встановлює лише одну однозначну вимогу: призначити відповідальну особу, яка виконує функції та завдання керівника з кіберзахисту. Підрозділ, у разі потреби, з метою забезпечення виконання вимог з кіберзахисту.
Чому ж це важливо на практиці. Для приватного бізнесу, навіть для тих, хто є власником ОКІ, — норма закону не вимагає окремої штатної структури. Вона вимагає функцію і відповідальну особу. Обсяг штатних рішень — це управлінський вибір власника, а не пряма вимога закону.
Перш ніж формувати штатний розпис чи витрачати бюджет на повноцінну службу, варто чітко відповісти на питання — «ми орган державної влади чи ми власник/розпорядник ОКІ?». Від цього залежить, що буде обов’язком, а що — рекомендацією.
↳ Частина 1 статті 5¹ Закону « Про основні засади забезпечення кібербезпеки України» у редакції Закону № 4336-IX.
⟵ Це публікація-доповнення до основної статті «Закон 4336-IX: що змінюється для держустанов і критичної інфраструктури і як до цього готуватися бізнесу».
Теги: Sheriff
Кібербезпека
закон 4336-IX
Кіберзахист
Органи державної влади
Якщо ви знайшли помилку в тексті, виділіть її мишкою і натисніть Ctrl + Enter