Кибербезопасность в международном и национальном законодательстве

Новые технологии, электронные услуги стали неотъемлемой частью нашей повседневной жизни. Учитывая, что общество с каждым днем становится все более зависимым от информационно-коммуникационных технологий, защита и доступность этих технологий становится критичным моментом и очень важной темой для национальных интересов. На сегодняшний день, необходимым условием развития информационного общества является кибербезопасность, за которой может стоять практически бесконечный список проблем безопасности и их решений, начиная от технических и заканчивая законодательными. В современных условиях, вопросы кибербезопасности выходят из уровня защиты информации на отдельном объекте вычислительной технике на уровень создания единой системы кибербезопасности, как составной части информационной и национальной безопасности каждого государства. Так, согласно Индексу конкурентоспособности-2016, опубликованному IMD World Competitiveness Center из 61 страны в вопросах обеспечения кибербезопасности лидирует Израиль. Являясь самой компьютеризированной страной на Ближнем Востоке, Израилем при Общей службе безопасности (ШАБАК) был создан отдел по информационной безопасности, контролирующий критически важные национальные инфраструктуры, в том числе производство электроэнергии, водоснабжение и так далее. Осознание растущих кибернетических угроз, как в военной, так и в гражданской области, привело к решению о создании специальной группы, состоящей из почти сотни специалистов, которая год спустя представила рекомендации относительного нововведений на национальном уровне ради подготовки к будущим угрозам кибервойны. Нововведения касались не только разработки конкретных технологий, но и создания необходимой инфраструктуры, включающей сотрудничество промышленных и академических кругов со структурами национальной безопасности, образовательные программы в рамках школьной системы обучения, создание академических центров повышения квалификации, критических национальных систем и многие другие проекты. В итоге в 2011 году для обеспечения контроля, планирования и осуществления указанных нововведений было создано Национального бюро израильской кибербезопасности. По мере того, как эта проблема становилась все более актуальной в мировом масштабе, накопленный в Израиле опыт и соответствующая правительственная стратегия постепенно превратили отдельные частные компании в мощный сектор экономики страны. Сегодня инфраструктура сферы кибербезопасности в Израиле включает примерно полторы сотни компаний, в том числе уже состоявшиеся фирмы вроде Check Point, и стартапы, венчурные фонды, инвестирующие именно в эту сферу, вроде Jerusalem Venture Partners (JVP) Cyber Labs, а также научно-исследовательские проекты, реализующие сотрудничество между высокотехнологическими компаниями и академическими кругами. Другими словами, по мере увеличения количества и развития израильских компаний намечается новая тенденция. Из поставщика стартапов Израиль постепенно превращается в международный центр высоких технологий, и в первую очередь в ведущего мирового лидера в области кибербезопасности. Вместе с тем, на мировой арене политика информационной безопасности в том или ином государстве, обеспечивается путем принятия Стратегий кибербезопасности. Так, первая стратегия кибербезопасности появилась в 2003 году в США. После чего подобные Стратегии и планы мероприятий по безопасности в виртуальном пространстве распространились по всей Европе. Список всех национальных Стратегий кибербезопасности стран Евросоюза (ЕС) и некоторых других стран, не входящих в его состав, опубликован Европейским агентством по безопасности сетей и информационной безопасности (The European Network and Information Security Agency - ENISA). Остановимся по подробнее на некоторых из них. Стратегия безопасности в киберпространстве в Германии была принята в начале 2011 года, при этом в Стратегии Германии основной фокус направлен на предотвращение и уголовное преследование кибератак, на предупреждение выхода из строя IT-оборудования, которое может быть вызвано случайными факторами. Также, в Стратегии Германии проводится анализ необходимости дополнительных действий по защите IT-систем посредством предоставления основных функций безопасности, сертифицированных государством, а также поддержки малого и среднего бизнеса путем создания новой рабочей группы. Кроме того, 11 июля 2015 года Парламентом Германии был принят закон о кибербезопасности, согласно которому более 2000 поставщиков услуг будут вынуждены внедрить новые стандарты безопасности в киберпространстве в течении двух лет, в ином случае немецким компаниям грозит штраф на сумму 100 тыс. евро. Закон оказывает влияние на институты, перечисленные в качестве "критической инфраструктуры" , такие , как транспорт, здравоохранение, водоснабжение коммунальных услуг, провайдеров телекоммуникационных услуг, а также финансовых и страховых компаний. При этом, новый закон обязывает компании уведомлять о любых кибер-атаках в Федеральное управление по информационной безопасности Германии (BSI). В качестве еще одного примера из стран Евросоюза можно привести Эстонию, Стратегия кибербезопасности которой была принята на 2014-2017 годы и является основным документом планирования кибербезопасности, продолжающим реализацию многих целей, найденных в Стратегии кибербезопасности на 2008-2013 гг. Четырехлетняя цель стратегии по кибербезопасности – увеличить потенциал по обеспечению кибербезопасности и повысить осведомленность населения о киберугрозах, обеспечивая таким образом уверенность в киберпространстве, в том числе обеспечить защиту информационных систем, лежащих в основе служб жизнеобеспечения, преодоление киберугроз для государственного и частного сектора, внедрение национальной системы контроля в сфере кибербезопасности, обеспечение целостности цифровых ресурсов государства, продвижение международного сотрудничества в сфере защиты инфраструктуры особо важной информации, совершенствование борьбы с киберпреступностью, повышение общественной осведомленности о киберрисках, разработка законодательной базы для обеспечения кибербезопасности и другие. Кроме того, 4 мая 2008 года на заседании Совета НАТО в Брюсселе был подписан Меморандум о взаимопонимании по созданию центра кибернетической защиты НАТО в Таллине, получившего впоследствии название «Передовой центр сотрудничества НАТО по вопросам киберзащиты» (NATO cooperative cyber defence centre of excellence). Целью создания указанного центра является расширение возможностей Альянса по обеспечению безопасности в киберпространстве, в том числе исследование и разработка новых способов защиты информации, в том числе выявление вредоносного воздействия на информационные системы стран-членов, оценка причиненного ущерба, восстановление их работоспособности, а также своевременное принятие мер по предотвращению кибератак, юридическое сопровождение деятельности НАТО в сфере киберзащиты, изучение, обобщение и распространение опыта в области обеспечения информационной безопасности, учебно-методическая работа и подготовка специалистов в области защиты и обеспечения безопасности информации стран-членов. Особое внимание центр уделяет проведению исследований в киберсфере, основными направлениями которых являются развитие концепций и стратегий обеспечения безопасности в киберпространстве, а также концепций проведения киберопераций (наступательных, оборонительных, эксплуатационных) как в рамках НАТО, так и в отдельных странах-членах, а также разработка технических решений обеспечения безопасности цифровых вычислительных систем Альянса и стран-членов, обнаружение и ликвидация последствий кибератак, разработка методов определения вторжения извне. В первоначальный состав киберентра входили представители Эстонии, Германии, Италии, Латвии, Литвы, Словакии и Испании. В 2010 году к ним присоединились специалисты Венгрии, а в 2011 году – США и Польши. Следует отметить, что членство в центре открыто для всех стран-членов НАТО, которые могут стать членами структуры после подписания Меморандума о взаимопонимании, определяющего вопросы финансирования и выделения персонала страны-участницы. Центр может сотрудничать и со странами, не входящими в блок НАТО, а также исследовательскими институтами и предприятиями в качестве участников-спонсоров. В этом случае, членство должно быть одобрено Руководящим комитетом. Участники-спонсоры имеют право участвовать только в определенных проектах центра. Решение в каждом конкретном случае принимается на индивидуальной основе и утверждается Руководящим комитетом. Участник-спонсор не входит в состав Руководящего комитета и, следовательно, не имеет права голоса при принятии решений по вопросам, связанным с бюджетом или программой работы Центра. Вместе с тем, с недавнего времени странами-участниками Евросоюза и депутатами Европарламента утвержден первый в Евросоюзе закон о кибербезопасности, который назван «Директивой по сетевой и информационной безопасности». Директива по безопасности сетевых и информационных систем (Директива NIS) была принята Европейским парламентом 6 июля 2016 года, при этом Директивой предусмотрен переходной период для государств - членов Евросоюза для адаптации национального законодательства. Директива NIS предусматривает правовые меры для повышения общего уровня кибербезопасности в Евросоюзе, обеспечивая сотрудничество между всеми государствами - членами, путем создания группы сотрудничества, в целях оказания поддержки и содействия стратегическому сотрудничеству и обмену информацией между государствами – членами, а также культуру безопасности во всех секторах, которые имеют жизненно важное значение для экономики и общества, таких как энергетика, транспорт, водоснабжение, банковской деятельности, инфраструктуры финансового рынка, здравоохранения и цифровой инфраструктуры. Таким образом, мировой опыт показывает, что на сегодняшний день вопросы кибербезопасности носят глобальный характер, что в свою очередь обусловливает потребность в разработке не только национальной, но и соответствующей международной стратегии безопасности. Вполне очевидно, что в современном мире, в котором все большую роль в жизни государства, ее экономике и системе безопасности играют киберпространство и современные информационные технологии, нельзя обойти вниманием угрозы, связанные с применением высоких технологий. Здесь Республика Казахстан не стала исключением, высокие темпы развития информационно-коммуникационных технологий в Казахстане актуализируют вопросы защиты соответствующей инфраструктуры, поскольку ее повреждение или разрушение может иметь значительные последствия для безопасности страны. Так, по данным «Лаборатории Касперского», Казахстан находится на 6-м месте в списке стран, пользователи которых наиболее часто подвергаются веб-атакам и на 9-м по количеству пользователей, атакованных троянцами-вымогателями для мобильных устройств. Вместе с тем, анализ законодательства Республики Казахстан позволяет сделать выводы, что на сегодняшний день в законодательстве не определены такие ключевые понятия, как киберпреступность, киберпространство, кибербезопасность, киберзащита. Вместе с тем наблюдается использование термина информационная безопасность. В соответствии со статьей 1 Закона Республики Казахстан от 24 ноября 2016 года «Об информатизации» (далее - Закон), предусмотрены следующие термины и их определения: информационная безопасность в сфере информатизации - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз; событие информационной безопасности – состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объектов информатизации; инцидент информационной безопасности – отдельно или серийно возникающие сбой в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов. В соответствии со статьей 14 Закона, работы по разработке средств защиты информации в части обнаружения, анализа и предотвращения угроз информационной безопасности для обеспечения устойчивого функционирования информационных систем и сетей телекоммуникаций государственных органов осуществляет государственная техническая служба. Кроме того, на ежегодной основе по заявлению собственников, государственная техническая служба проводит аттестацию информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на соответствие требованиям информационной безопасности, то есть мероприятия по определению состояния защищенности объектов аттестации, а также их соответствия требованиям информационной безопасности. При этом в соответствии со статьей 51 Закона, объектами аттестации, подлежащими обязательной аттестации, являются: 1) информационная система государственного органа; 2) негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов; 3) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры; 4) информационно-коммуникационная платформа «электронного правительства»; 5) интернет-ресурс государственного органа. Таким образом, можно сделать выводы, что основным ориентиром и приоритетами законодательства Республики Казахстан, так же как и в приведенных выше зарубежных странах, является защита критически важных объектов информационно-коммуникационной инфраструктуры, в том числе и информационно-коммуникационной инфраструктуры «электронного правительства», нарушение или прекращение функционирования которых приводят к чрезвычайной ситуации социального и (или) техногенного характера или значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или жизнедеятельности населения, проживающего на соответствующей территории. Тем не менее, вопросы кибербезопасности в национальном законодательстве Республики Казахстан находятся в зачаточном состоянии, о чем свидетельствует и приведенная выше статистика, где Республики Казахстан занимает 6-м месте в списке стран, пользователи которых наиболее часто подвергаются веб-атакам и на 9-м по количеству пользователей, атакованных троянцами-вымогателями для мобильных устройств. В связи с чем, возникает необходимость пересмотра всех применяемых подходов к обеспечению информационной безопасности и разработки национальной стратегии кибербезопасности с учетом мировой практики, к примеру, по аналогии и опыту государств-членов Евросоюза. Поскольку, как показывает зарубежный опыт национальные стратегия по кибербезопасности это инструмент для улучшения и повышения уровни безопасности национальной информационной инфраструктуры и услуг, показывающая различные сферы национальных интересов и приоритетов, которые должны будут достигнуты в определенные временные промежутки. Кроме того, разработка национальных стандартов и методик в сфере информационной безопасности, включая гармонизацию с международными стандартами и техническими регламентами – также одна из приоритетных и актуальных задач для Республики Казахстан в сфере защиты информации. Вместе с тем, на сегодняшний день, с целью реализации государственной политики в области информационной безопасности в сфере информатизации и связи (кибербезопасности), Указом Президента Республики Казахстан от 6 октября 2016 года было образовано Министерство оборонной и аэрокосмической промышленности Республики Казахстан. Этим же Указом Правительству Республики Казахстан поручено обеспечить создание Комитета по информационной безопасности, который фактически теперь будет выполнять функции уполномоченного органа (регулятора) по разработке государственной политики в сфере национальной информационной безопасности, что безусловно является важным шагом в вопросах обеспечения кибербезопасности страны.