CC BY
56Закон и право. 2022. № 6. С. 30-34. Law and legislation. 2022;(6):30-34.
Научная статья УДК 342
https://doi.org/10.24412/2073-3313-2022-6-30-34
NIION: 1997-0063-6/22-312 MOSURED: 77/27-001-2022-6-512
Об опыте законодательного обеспечения кибербезопасности на правовом пространстве СНГ
Владимир Михайлович Редкоус
Институт государства и права РАН, Москва,
Россия, [email protected]
Аннотация. В статье рассмотрен опыт законодательного обеспечения кибербезопасности на правовом пространстве СНГ в целях реализации задач, поставленных Президентом Российской Федерации В.В. Пугиным на заседании Совета Безопасности 20 мая 2022 года.
Ключевые слова: административное право, административно-правовое регулирование, информационное право, национальная безопасность, государственная безопасность, кибербезопасность, киберуг-роза, информационная война, законодательное обеспечение.
Для цитирования: Редкоус В.М. Об опыте законодательного обеспечения кибербезопасности на правовом пространстве СНГ // Закон и право. 2022. № 6. С. 30—34. https://doi.org/10.24412/2073-3313-2022-6-30-34.
Original article
On the experience of legislative provision of cybersecurity in the legal space of the CIS
Vladimir M. Redkous
Institute of the State and Law of the Russian Academy of Science,
Moscow, Russia, [email protected]
Abstract. The article considers the experience of legislative provision of cybersecurity in the legal space of the CIS in order to implement the tasks set by the President of the Russian Federation V.V. Putin at a meeting of the Security Council on May 20, 2022
Keywords: administrative law, administrative and legal regulation, information law, national security, state security, cybersecurity, cyber threat, information war, legislative support.
For citation: Redkous V.M. On the experience of legislative provision of cybersecurity in the legal space of the CIS // Law and legislation. 2022;(6):30—34. (In Russ.). https://doi.org/10.24412/2073-3313-2022-6-30-34.
Современное развитие административного права характеризуется поиском форм ■^шчг 'и методов государственного управления, которые в наибольшей степени способствовали бы решению насущных задач стабильного политического, экономического, научно-технического, культурного, социального развития нашей страны [1]. В орбиту административно-правового регулирования попадают все новые и новые виды общественных отношений [4], которые, будучи урегулированными нормами админист-
© Редкоус В.М. М., 2022.
ративного права, становятся административно-правовыми.
20 мая 2022 г. состоялось заседание Совета Безопасности Российской Федерации, посвященное защите и обеспечению надежной работы информационных систем и сетей связи, выработке мер, призванных парировать внешние угрозы в этой сфере.
В своем выступлении Президент Российской Федерации В.В. Путин сказал, что «количество кибератак на российскую информационную инфраструктуру все последние годы постоянно растет — именно все последние годы, ну а с нача-
ЗАКОН И ПРАВО • 06-2022
лом специальной военной операции на Донбассе, на Украине вызовы в этой сфере стали еще более острыми и серьезными, более масштабными. По сути, против России развязана настоящая агрессия, война в информационном пространстве» [3]. В таких условиях был предложен ряд организационных мер, направленных на совершенствование управления в рассматриваемой области с целью недопущения возникновения, распространения и негативного влияния на нашу страну киберугроз, являющихся зачастую угрозами национальной и государственной безопасности.
На решение данных задач направлен Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Все это требует соответствующего правового обеспечения, прежде всего законодательно -го, а также продолжения научных разработок в данной области [2], в том числе и сравнительно-правового характера.
В.В. Путин на заседании Совбеза России 20 мая 2022 г. сказал, что эта «тема комплексная, конечно, крайне актуальная — для всех это понятно, важнейшая для нашего суверенитета и безопасности, для экономики и для государственного управления, для общественной стабильности». Это предопределяет продолжение научных исследований в области кибербезопас-ности.
Следует сказать, что вопросы обеспечения кибербезопасности в государствах СНГ рассматриваются в различных аспектах, одним из основных среди которых является рассмотрение кибербезопасности в контексте обеспечения информационной безопасности. Это оказывает непосредственное влияние на правовую основу обеспечения кибербезопасности. Определенные трудности в данной области связаны с тем, что до настоящего времени не выработано общепринятого научного определения кибербе-зопасности, что затрудняет его нормативное закрепление
Понятие кибербезопасности на правовом пространстве СНГ закреплено, например, в ст. 1 Закона Республики Узбекистан от 15 апреля 2022 г. № ЗРУ-764 «О кибербезопасности»: «Кибербезопасностъ — состояние защищенности интересов личности, общества и государства от внешних и внутренних угроз в киберпростран-стве» [7].
В Законе Украины от 5 октября 2017 г. № 2163-УШ «Об основных принципах обеспечения кибербезопасности Украины» [6] предложено следующее определение: «Кибербезопасностъ — защищенностъ жизненно важных интересов человека и гражданина, общества и государства при исполъзовании киберпространства, при которой обеспечиваются устойчивое развитие информационного общества и цифровой коммуникационной среды, своевременное выявление, предотвращение и нейтрализация реальных и потенциальных угроз национальной безопасности Украины в киберпространстве».
В Постановлении Правительства Республики Казахстан от 30 июня 2017 г. № 407 «Об утверждении Концепции кибербезопасности («Киберщит Казахстан»)» говорится, что «под кибербезопасностью понимаются состояние защищенности информации в электронной форме и среды ее обработки, хранения, передачи (электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры) от внешних и внутренних угроз, т.е. информационная безопасность в сфере информатизации».
Общие вопросы обеспечения информационной безопасности и связанных с этим отношений регламентируются, как правило, законодательными актами и принимаемыми на их основе подзаконными актами глав государств, высших органов исполнительной власти, уполномоченных органов исполнительной власти, а также специально образуемых органов и организаций, наделяемых компетенцией в области обеспечения информационной безопасности, в том числе и кибербезопасности.
В государствах СНГ есть опыт принятия так называемых «специализированных» законов, направленных на регулирование общественных отношений в области кибербезопасности. Этот опыт интересен и для Российской Федерации, так как во многом в нашей стране правовая основа кибербезопасности еще далека от совершенства.
В Законе Украины от 5 октября 2017 г. № 2163-УШ «Об основных принципах обеспечения кибербезопасности Украины» уже шла речь в одной из работ автора [5].
Одним из недавно принятых законов в этой области, вступающим в силу с 17 июля 2022 г., является Закон Республики Узбекистан от 15 апреля 2022 г. № ЗРУ-764 «О кибербезопасности» (далее — Закон РУз).
LAW & LEGISLATION • 06-2022
Структурно Закон РУз состоит из восьми глав, а именно:
■ Глава 1. Общие положения.
■ Глава 2. Государственное регулирование сферы кибербезопасности.
■ Глава 3. Права и обязанности государственных органов и организаций в обеспечении кибербезопасности. Резервное копирование данных.
■ Глава 4. Обеспечение кибербезопасности.
■ Глава 5. Инциденты кибербезопасности.
■ Глава 6. Объекты критической информационной инфраструктуры.
■ Глава 7. Поддержка и развитие в сфере кибербезопасности.
■ Глава 8. Заключительные положения.
Названия глав показывают как отдельные
направления государственного регулирования кибербезопасности, так и их содержание.
Основными принципами обеспечения ки-бербезопасности в соответствии с Законом РУз являются: законность; приоритет защиты интересов личности, общества и государства в кибер-пространстве; единый подход к регулированию сферы кибербезопасности; приоритет участия отечественных производителей в создании системы кибербезопасности; открытость Республики Узбекистан к международному сотрудничеству в обеспечении кибербезопасности.
Защита интересов личности, общества и государства от внешних и внутренних угроз в ки-берпространстве является приоритетом в обеспечении кибербезопасности государства.
Единую государственную политику в сфере кибербезопасности определяет Президент Республики Узбекистан. Служба государственной безопасности Республики Узбекистан является уполномоченным государственным органом в сфере кибербезопасности. В Законе РУз подробно прописаны полномочия Службы государственной безопасности Республики Узбекистан в области обеспечения кибербезопасности.
Иные субъекты кибербезопасности имеют право: получать от уполномоченного государственного органа сведения о киберугрозах, уяз-вимостях программного обеспечения, оборудовании и технологиях в целях обеспечения своей кибербезопасности; получать сведения и консультации уполномоченного государственного органа о средствах и методах защиты от кибера-так, а также методах их выявления и предотвращения; разрабатывать и реализовывать меры по обеспечению своей кибербезопасности.
Иные субъекты кибербезопасности обязаны: предотвращать незаконное распространение, хищение, утерю, нарушение целостности, блокировку и фальсификацию данных в информационных системах и ресурсах, а также иные виды несанкционированного доступа (входа) к информационным системам и ресурсам, принимать своевременные соответствующие меры при выявлении таких случаев; в целях минимизации негативных последствий при нарушении порядка доступа в информационные системы и ресурсы и в случае их изменения или удаления в результате несанкционированного доступа к ним принимать меры по их оперативному восстановлению; уведомлять уполномоченный государственный орган о произошедших инцидентах кибербезопасности и киберпреступлениях, принимать меры по недопущению утери соответствующих цифровых следов для полного раскрытия данных инцидентов, а также обеспечивать постоянное хранение сведений, необходимых для анализа инцидентов кибербезопасности и расследования киберпреступлений; осуществлять взаимный обмен с уполномоченным государственным органом данными в сфере охраны и проведения мониторинга безопасной работы объектов кибербезопасности; соблюдать требования кибербезопасности, определенные уполномоченным государственным органом, в обеспечении киберзащиты информационных систем и ресурсов; обеспечивать функционирование механизмов принятия мер в отношении инцидентов кибербезопасности и работу подразделений по обеспечению кибербезопасности, а в случае их отсутствия — пользоваться услугами аутсорсинга с разрешения уполномоченного государственного органа в установленном порядке; предоставлять уполномоченному государственному органу право доступа в мониторинговые системы и (или) объекты кибербезопасности для осуществления организационно-технических мероприятий мониторинга обеспечения кибер-безопасности.
Инцидент кибербезопасности — это событие в киберпространстве, приведшее к сбоям в работе информационных систем и (или) нарушениям доступности информации в них, целостности и ее свободного использования. Инциденты кибербезопасности расследуются уполномоченным государственным органом или должностными лицами рабочего органа по обеспечению кибербезопасности. Владелец информационного ресурса или информационной системы, в которой произошел инцидент кибербезопасности,
ЗАКОН И ПРАВО • 06-2022
может провести расследование инцидента кибербезопасности, если он обладает необходимыми ресурсами и техническими возможностями для проведения расследования. При этом уполномоченный государственный орган должен быть уведомлен о результатах расследования.
Принятие мер субъектами кибербезопасности в отношении инцидентов кибербезопасности может осуществляться в следующих формах: предотвращение уязвимостей и ошибок в программном обеспечении и устройствах; уничтожение вредоносных программ, ограничение их распространения, техническое ограничение источника кибератак; изоляция объектов информатизации от реальных киберугроз; предоставление правоохранительным органам сведений об инцидентах кибербезопасности.
Информация о выявленных в информационных системах и ресурсах уязвимостях, киберуг-розах, кибератаках и других подрывных действиях, а также об объектах информатизации может быть раскрыта с разрешения субъекта кибербезопасности после принятия соответствующих мер по их защите. Информация о выявленных киберугрозах и уязвимостях должна быть использована исключительно для их устранения и предотвращения незаконных действий.
Установлено, что основными направлениями обеспечения кибербезопасности объектов критической информационной инфраструктуры являются: создание единого комплекса мер по регулированию нормативно-правовой, организационной и технической защиты объектов критической информационной инфраструктуры; установление требований по обеспечению кибербезопасности в информационных системах и ресурсах государственных органов и организаций, на объектах критической информационной инфраструктуры; содействие созданию условий для эффективного обеспечения кибербезопасно-сти объектов критической информационной инфраструктуры.
Объекты критической информационной инфраструктуры подразделяются на следующие категории: объекты критической информационной инфраструктуры высокого уровня; объекты критической информационной инфраструктуры среднего уровня; объекты критической информационной инфраструктуры низкого уровня. Критерии категорирования объектов критической информационной инфраструктуры определяются уполномоченным государственным органом. Уполномоченный государственный орган
ведет единый реестр объектов критической информационной инфраструктуры.
Государственной поддержкой субъектов кибербезопасности являются: совершенствование нормативно-правовой базы в сфере кибербезо-пасности; предоставление субъектам кибербезопасности налоговых, таможенных льгот и преференций; создание условий для привлечения средств хозяйствующих субъектов для финансирования сферы кибербезопасности; организация государственных закупок в сфере кибербезопасности, нацеленных на обеспечение гарантированного внедрения продуктов и передовых технологий, основанных на научно-технических достижениях; оказание содействия в подготовке и переподготовке кадров в сфере кибербезо-пасности, а также повышении их квалификации.
Закон Республики Узбекистан от 15 апреля 2022 г. № ЗРУ-764 «О кибербезопасности» — хороший пример законодательного регламентирования общественных отношений в области обеспечения кибербезопасности, формирующий организационно-правовые основы управления в области кибербезопасности, устанавливающий обязанности и права уполномоченного органа и иных органов в области кибербезопасности, что позволяет осуществлять деятельность на четкой законодательной основе.
Список источников
1. Административно-правовое регулирование в сфере экономики (современные формы и методы) / Е.В. Виноградова, И. В. Глазунова,
A.А. Гришковец, М.Н. Кобзарь-Фролова,
B.М. Редкоус [и др.]. Воронеж: Науч. кн., 2021. 256 с. ISBN 978-5-4446-1620-8
2. Бачиловские чтения: Матер. 4-й Между-нар. науч.-практ. конф. Москва, 5 — 6 февраля 2022 / Отв. ред. Т.А. Полякова, А.В. Минбалеев,
B.Б. Наумов. Саратов: ООО «Амирит», 2022. 568 с. ISBN 978-5-00140-949-6
3. Выступление В.В Путина на заседании Совета Безопасности 20 мая 2022 г. // URL: http:// www.kremlin.ru/events/president/news/68451 (Дата обращения: 21.05.2022)
4. Виноградова Е.В., Кобзарь-Фролова М.Н. Академической науке административного права и административного процесса 85 лет // Тр. Ин-та гос-ва и права РАН. 2021. Т. 16. № 6.
C. 198—210.
5. Редкоус В.М. Административно-правовые аспекты законодательного обеспечения кибер-
LAW & LEGISLATION • 06-2022
безопасности в государствах — участниках СНГ // Бачиловские чтения: Матер. 4-й Междунар. науч.-практ. конф. Москва, 5 — 6 февраля 2022 / Отв. ред. Т.А. Полякова, А.В. Минбалеев,
B.Б. Наумов. Саратов: ООО «Амирит», 2022.
C. 303—311.
6. Ведомости Верховной рады Украины. 2017. № 45. Ст. 403.
7. Национальная база данных законодательства Республики Узбекистан от 16.04.2022 г. № 0 3/22/764/0313.
References
1. Administrative and legal regulation in the sphere of economy (modern forms and methods) / E.V. Vinogradova, I.V. Glazunova, A.A. Grish-kovets, M.N. Kobzar-Frolova, V.M. Redkous [i dr.]. Voronezh: Scientific book, 2021. 256 p.
2. Bachilov readings: Proceedings of the fourth international scientific and practical conference, Moscow, February 5 — 6, 2022 / Ed. T.A. Polyakova, A.V. Minbaleev, V.B. Naumov / Institute of State
and Law of the Russian Academy of Sciences. Saratov: Amirit LLC, 2022. 568 p. ISBN 978-500140-949-6
3. Speech by Vladimir Putin at a meeting of the Security Council on May 20, 2022 // URL: http:// www.kremlin.ru/events/president/news/68451 (Accessed: 05.21.2022)
4. Vinogradova E.V., Kobzar-Frolova M.N. Academic science of administrative law and administrative process is 85 years old / / Proceedings of the Institute of State and Law of the Russian Academy of Sciences. 2021. Vol. 16. № 6. Pp. 198-210.
5. Redkous V.M. Administrative and Legal Aspects of Legislative Support of Cybersecurity in the CIS Member States // Bachilov Readings: Proceedings of the Fourth Intern. scientific-pract. conf. (Moscow, February 5 — 6, 2022) / Ed. T.A. Polyakova, A.V. Minbaleev, V.B. Naumov. Saratov, 2022. Pp. 303—311.
6. Vedomosti of the Verkhovna Rada of Ukraine. 2017. № 45. Article 403.
7. National database of legislation of the Republic of Uzbekistan dated 04.16.2022 № 0 3/22/764/0313.
Информация об авторе
Редкоус В.М. — доктор юридических наук, профессор
Information about the author
Redkous У.М. — D.Sc. in law, professor
Статья поступила в редакцию 1 9.04.2022; одобрена после рецензирования 08.05.2022; принята к публикации 14.05.2022.
The article was submitted 1 9.04.2022; approved after reviewing 08.05.2022; accepted for publication 14.05.2022.
ЗАКОН И ПРАВО • 06-2022
