Новое регулирование кибербезопасности в контексте международного опыта

Несмотря на активный рост IT индустрии и информационного пространства, бизнес все еще не до конца осознает значимость кибербезопасности.

Преимуществом большинства киберпреступников сегодня остаются не наличие технических ресурсов и уникальных навыков, а элементарные пробелы законодательства и отсутствие унифицированных правил, применимых в случае кибератаки.

Катализатором изменений в сфере кибербезопасности стал вирус Petya, который заставил всерьез задуматься и пересмотреть подходы к обеспечению безопасности данных не только лидирующие технологические компании, но и в целом, вынести этот вопрос на государственный уровень.

Первые законодательные инициативы

Принятый 5 октября 2017 года ЗУ “Об основах обеспечения кибербезопасности Украины” (далее — Закон), можно по праву считать первым нормативным инструментом, который затрагивает данную отрасль на национальном уровне. Однако по факту, Закон скорее устанавливает  общие положения и декларирует основные аспекты данной сферы, нежели служит правовым инструментом для практического применения.
            Так, Закон конкретизирует объекты критической инфраструктуры, которые подлежат киберзащите, определяет субъекты защиты кибербезопасности и их полномочия, а также вводит в правовую среду некоторые термины, с приставкой кибер-.

К примеру, согласно п.5 ст. 1 Закона, кибербезопасность определяется как защищенность жизненно важных интересов человека и гражданина, общества и государства при использовании киберпространства, при которой обеспечиваются устойчивое развитие информационного общества и надлежащие меры для предотвращения потенциальных угроз безопасности Украины в киберсреде.

Помимо прочего, Закон предполагает и государственно-частное взаимодействие в сфере кибербезопасности, как указывается в ст. 10 Закона. Тем не менее, это положение также носит достаточно формальный характер. В целом, несмотря на то, что Закон направлен на защиту интересов как государства, так и каждого гражданина, основные его пункты все же касаются формирования общей государственной политики в отношении кибербезопасности.

Западный опыт, как ориентир дальнейшего развития событий

Безусловно, хорошим примером системного подхода к развитию вопроса о киберзащите можно считать опыт США. Разработанные стандарты по безопасности (NIST Cybersecurity Framework), которые позволяют обнаруживать, реагировать и даже предотвращать кибер-инциденты, сегодня применяются многими частными организациями по всему миру.

В феврале 2016 года был разработан План действий по национальной безопасности для кибербезопасности (“Сybersecurity National Security Action Plan”). При этом, значительным прогрессом в урегулировании киберпространства могут похвастаться также и отдельные штаты.

К примеру, в Калифорнии существует Акт об уведомлении о нарушении правил безопасности (“Notice of Security Breach Act”), согласно которому любая компания, которая в процессе ведения личной информации граждан Калифорнии сталкивается с нарушениями безопасности, должна раскрывать детали подобного инцидента. Акт предусматривает санкции для компаний за нарушения и сбои в безопасности данных, предоставляя им свободу выбора способов обеспечения безопасности своих систем.

ЕС в свою очередь также имеет позитивный опыт регулирования киберпреступности.  Основным документом, на который стоит обратить внимание и имплементировать его в национальное законодательство, является Директива по сетевой и информационной безопасности (“NIS Directive”).

В документе излагается общий подход и правила ЕС в сфере кибербезопасности. Он направлен ​​на активизацию сотрудничества по кибербезопасности между странами ЕС. Поскольку основным объектом посягательства со стороны кибепреступников являются конфиденциальные данные, Общий регламент по защите персональных данных (“GDPR”) также можно отнести к правовому стандарту кибербезопасности. Ведь  в случае соответствия требованиям Регламента, уровень защиты персональной информации в цифровой среде значительно повышается.

Заключение

В любом случае, начало регулированию информационной безопасности в Украине положено, что однозначно является позитивным шагом. К тому же не так давно правительство США приняло решение об удвоении размера помощи Украине для укрепления кибербезопасности, что также свидетельствует о положительном развитии отрасли цифровой безопасности.
Осталось дело за малым, разработать пути реализации принятых норм на практике.
В этом очень может пригодится иностранный опыт, что указан выше.

Оригинал статьи читайте на сайте Ліга:Закон.