Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Новое регулирование кибербезопасности в контексте международного опыта
Александр Горбенко, юрист, Legal IT Group

Несмотря на активный рост IT-индустрии и информационного пространства, бизнес все еще не до конца осознает значимость кибербезопасности.

Преимуществом большинства киберпреступников сегодня остаются не наличие технических ресурсов и уникальных навыков, а элементарные пробелы законодательства и отсутствие унифицированных правил, применимых в случае кибератаки.

Катализатором изменений в сфере кибербезопасности стал вирус Petya, который заставил всерьез задуматься и пересмотреть подходы к обеспечению безопасности данных не только лидирующие технологические компании, но и в целом, вынести этот вопрос на государственный уровень.

Первые законодательные инициативы

Принятый 5 октября 2017 года Закон "Об основных принципах обеспечения кибербезопасности Украины" (далее – Закон) можно по праву считать первым нормативным инструментом, который затрагивает данную отрасль на национальном уровне. Однако по факту Закон скорее устанавливает общие положения и декларирует основные аспекты данной сферы, нежели служит правовым инструментом для практического применения.

Так, Закон конкретизирует объекты критической инфраструктуры, которые подлежат киберзащите, определяет субъектов защиты кибербезопасности и их полномочия, а также вводит в правовую среду некоторые термины с приставкой кибер.

К примеру, согласно п. 5 ст. 1 Закона кибербезопасность определяется как защищенность жизненно важных интересов человека и гражданина, общества и государства при использовании киберпространства, при которой обеспечиваются устойчивое развитие информационного общества и надлежащие меры для предотвращения потенциальных угроз безопасности Украины в киберсреде.

Помимо прочего, Закон предполагает и государственно-частное взаимодействие в сфере кибербезопасности, как указывается в ст. 10 Закона. Тем не менее, это положение также носит достаточно формальный характер. В целом, несмотря на то, что Закон направлен на защиту интересов как государства, так и каждого гражданина, основные его пункты все же касаются формирования общей государственной политики в отношении кибербезопасности.

Западный опыт как ориентир дальнейшего развития событий

Безусловно, хорошим примером системного подхода к развитию вопроса о киберзащите можно считать опыт США. Разработанные стандарты по безопасности (NIST Cybersecurity Framework), которые позволяют обнаруживать, реагировать и даже предотвращать киберинциденты, сегодня применяются многими частными организациями по всему миру.

В феврале 2016 года был разработан План действий по национальной безопасности для кибербезопасности ("Сybersecurity National Security Action Plan"). При этом значительным прогрессом в урегулировании киберпространства могут похвастаться также и отдельные штаты.

К примеру, в Калифорнии существует Акт об уведомлении о нарушении правил безопасности ("Notice of Security Breach Act"), согласно которому любая компания, которая в процессе ведения личной информации граждан Калифорнии сталкивается с нарушениями безопасности, должна раскрывать детали подобного инцидента. Акт предусматривает санкции для компаний за нарушения и сбои в безопасности данных, предоставляя им свободу выбора способов обеспечения безопасности своих систем.

ЕС в свою очередь также имеет позитивный опыт регулирования киберпреступности.  Основным документом, на который стоит обратить внимание и имплементировать его в национальное законодательство, является Директива по сетевой и информационной безопасности ("NIS Directive").

В документе излагается общий подход и правила ЕС в сфере кибербезопасности. Он направлен на активизацию сотрудничества по кибербезопасности между странами ЕС. Поскольку основным объектом посягательства со стороны киберпреступников являются конфиденциальные данные, Общий регламент по защите персональных данных (GDPR) также можно отнести к правовому стандарту кибербезопасности. Ведь в случае соответствия требованиям Регламента уровень защиты персональной информации в цифровой среде значительно повышается.

ВЫВОД:

Итак, начало регулированию информационной безопасности в Украине положено, что однозначно является позитивным шагом. К тому же не так давно правительство США приняло решение об удвоении размера помощи Украине для укрепления кибербезопасности, что также свидетельствует о положительном развитии отрасли цифровой безопасности. Осталось дело за малым – разработать пути реализации принятых норм на практике. В этом очень может пригодиться иностранный опыт, указанный выше.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua