Държавната агенция Електронно управление публикува за обществено обсъждане
Проект на Закон за киберсигурност
Киберсигурността се приема като функция на Министерството на вътрешните работи, което на практика не е така
Проект на Закон за киберсигурност

С новия закон ще бъдат създадени нови компетентни органи, които ще следят за киберсигурността на национално ниво.
Снимка: University of York

Държавната агенция "Електронно управление" публикува в Портала за обществени консултации към Министерския съвет Проект на Закон за киберсигурност.

Бъдещият закон ще въведе в българското законодателство изискванията на Директива 2016/1148 ЕС относно мерки за високо общо ниво на сигурност на мрежовите и информационни системи в Съюза. В ЕС се установяват еднакви регулации за постигане на минимално общо ниво на сигурност на мрежите и информационните системи.

Към настоящия момент основен закон, който да урежда обществените отношения в областта на киберсигурността, не съществува. Материята е частично определена в Закона за електронното управление, Закона за Държавна агенция "Национална сигурност", Закона за министерството на вътрешните работи и Наредбата за общите изисквания за мрежова и информационна сигурност.

С новия закон ще бъдат създадени нови компетентни органи, които ще следят за киберсигурността на национално ниво.

"Няма ясно идентифицирани органи/организации/ведомства, които да отговарят за засегнатите сектори. Киберсигурността се приема като функция на Министерството на вътрешните работи, което на практика не е така", се казва в мотивите към законпроекта. Особеност при разследването и реакцията при кибер инциденти е това, че те се характеризират с особена сложност, изискват сериозен ресурс и много кратко време за реакция.

Ако бъде приет, законопроектът ще уреди:

- създаването на нови национални компетентни органи в областта - Национално единно звено за контакт, регламентира се управлението и организацията на националната система за киберсигурност, Националния координатор по киберсигурност, секторни Екипи за реакция при инциденти в киберсигурността – ЕРИКС, както и Национален ЕРИКС (създаден от председателя на Държавна агенция "Електронно управление");

- институционалната рамка в областта на киберсигурността, превенцията и противодействието на кибер атаките

- статута и функционирането на операторите на съществени услуги (ОСУ);

- статута и функционирането на доставчиците на цифрови услуги (ДЦУ);

Необходими ли ще са допълнителни средства от бюджета?

Законопроектът предвижда осъществяването на дейностите по него да бъдат в рамките на бюджетите за съответната календарна година на  засегнатите държавни  институции,  поради което проектът на акт няма да доведе до необходимост от допълнителни финансови и други средства, нужни за прилагането на новата уредба.

Създаването на нов орган – Съвет по киберсигурност като нещатен консултационен орган към Министерския съвет и определянето от министър-председателя на Национален координатор по киберсигурност няма до доведе до допълнителни разходи. Функциите на Съвета по киберсигурност няма да се дублират с функциите на вече съществуващи съвети или органи.

Предвижда се финансирането на административните структури, отговорни по законопроекта – Национални компетентни органи по сигурност на мрежите и информационните системи, които ще бъдат определени от МС сред съществуващите администрации, Националното единно звено за контакт, създадените към определените Национални компетентни органи секторни Екипи за реакция при инциденти в компютърната сигурност (ЕРИКС), както и Национален екип за реакция при инциденти в компютърната сигурност (НЕРИКС) към председателя на Държавна агенция "Електронно управление", да се осъществи за сметка и в рамките на утвърдените разходни тавани  на съответните разпоредители с бюджет съгласно РМС № 654 от 30 октомври 2017 г. за одобряване на Актуализираната средносрочна бюджетна прогноза за периода 2018 – 2020 г.

Коментари от FACEBOOK
Коментари от правен свят
   Започни с:  Първите  |  Последните  
2
www.Advocati.org
|
нерегистриран
22 март 2018, 22:35
2
0
Законопроектът предвижда преди всичко създаването на нови административни звена, писането на „стратегии“ (естествено) и налагането на санкции (за неспазването на изисквания, които са формулирани от автори, очевидно несвикнали със съвременната компютърна терминология). Нито дума за самите софтуерни и хардуерни стандарти, които би трябвало да обезпечават търсената киберсигурност.

Сигурността на компютърните системи е невъзможна – на първо място – когато се използва софтуер със затворен код. Кодът е „затворен“ тогава, когато е „търговска тайна“ и поради тази причина не само, че е неизвестен за нас, но дори ни е забранено да установяваме как е написан и какви инструкции подава към нашето компютърно устройство.

Windows-ите, на които е писан законопроектът, са „затворен“ софтуер (каченият в Портала за обществено обсъждане законопроект е във формат .docx – а това е формат, представляващ корпоративна собственост на Microsoft). Не може да се разсъждава за каквато и да било сигурност, когато софтуерът, на който работиш, е корпоративна собственост на чужда компания и ти дори нямаш право да узнаеш какво пише в този софтуер (какво прави той на собстевинте ти компютри и със собствената ти информация).

Докато не се заговори за Свободни софтуерни стандарти (каквито са стандартите на GNU/Linux-libre) не можем да мислим за каквато и да било сигурност. Защото фундаментално условие на сигурността е (1) да знаеш и (2) да имаш контрол.

(1) За да знаеш в контекста на софтуера, е необходимо да имаш достъп до Изходния код. Windows (и всеки друг „затворен“ софтуер) идва като Машинен код (Изходният код представлява „търговска тайна“ на компанията-разработчик). Нашите чиновници (включая „отговарящите“ за софтуерната сигурност на Република България) нямат никакво право и никакъв достъп до „търговските тайни“ на Microsoft; те не знаят (и дори нямат право да знаят) какво точно се случва в компютрите на собствената им администрация.

(2) За да имаш контрол в контекста на софтуера, е необходимо да имаш право да променяш съобразно своите нужди – при това да променяш чрез избрани от теб разработчици, на които имаш доверие. Windows (и всеки друг „затворен“ софтуер) се предоставя „във вида, в който е“ и ти нямаш право да го променяш по никакъв начин. Промени може да прави само и единствено собственикът Microsoft – ако и доколкото прецени за необходимо. Българската държава е относително малък корпоративен клиент за тази компания – едва ли евентуални наши искания биха били особено важни за тях.

В ЗАКЛЮЧЕНИЕ – законопроектът е „преливане от пусто в празно“, както и практически всичко, което невзрачната ни държавност се е опитвала да направи по линия електронизацията на нашето общество. Докато не се постави истинския въпрос – за прозрачността, независимостта и свободата в софтуерния код – няма да можем да говорим за каквато и да било сигурност. Тогава обаче няма как определени висши държавници да получават комисионни заради това, че се съгласяват да купят n-броя лицензи за очевидно несъстоятелен софтуер, на очевидно завишени цени, проваляйки по този начин интересите на българската държава, но гарантирайки подчиняването на съответния пазар на определени корпоративни интереси.

Бъдете спокойни – това е поредният законопроект, който няма да доведе до нищо полезно!
1
|
нерегистриран
22 март 2018, 16:53
3
0
"Ако бъде приет, законопроектът ще уреди:

- създаването на нови национални компетентни органи в областта - Национално единно звено за контакт, регламентира се управлението и организацията на националната система за киберсигурност, Националния координатор по киберсигурност, секторни Екипи за реакция при инциденти в киберсигурността – ЕРИКС, както и Национален ЕРИКС (създаден от председателя на Държавна агенция "Електронно управление");"

Казано по-просто докато по селата бандитите убиват, изнасилват и убиват бабите, държавните органи ще се разплодят и уголемят с една огромна вълна новопръкнали се нищо не правещи и напълно безполезни чиновници.

Ама пък за що родени началници и другарки-секретарки, пиарки и пр. ще се открият "работни места" (или по-точно хранилки за безделници), направо не е за говорене.
И всичко това ще е за сметка на щата на органи, от които иначе се очаква да направят много, но с толкова малък персонал и бюджетни средства, че да нямат шанс да постигнат дори минимален резултат.
ТВОЯТ КОМЕНТАР
Име
Коментар
Снимка 1
Снимка 2
Снимка 3
Снимка 4
Снимка 5
Снимка 6
Въведете буквите и цифрите от кода в дясно