DOI: 10.7256/2454-0595.2018.9.27762
Received:
23-10-2018
Published:
01-11-2018
Abstract:
The object of the research is the relations arising in the process of using the national legal mechanism of cybersafety. The subject of the research is the particular legal acts that are issued in the sphere of regulation of critical information infrastructure safety in the Russian Federation and Singapore as well as international standards therein. The author of the article examines institutional mechanisms of ensuring the safety of the critical information infrastructure and analyzes law-making and law-enforcement processes in the sphere of information security. Goryan outlines drawbacks and benefits of the aforesaid national mechanisms and offers suggestions on how to improve the Russian mechanism. In order to obtain valid research results, the author has applied a number of general research methods (structured system analysis, formal law and hermeneutical methods) and special research methods (comparative law and formal law analysis). From the point of view of international standards, the Russian Federation and Singapore demonstrate a relatively high level of critical information infrastructure safety. The drawback of the Russian law is the fact that there is no legal regulation of the process of information network identification as objects and organisations of critical information infrastructure. The peculiar feathre of the Russian mechanism is the multiple number of actors that ensure the critical information infrastructure safety unlike the Singapore mechanism that has only one department. However, the Russian mechanism has such advantanges as the involvement of the service that has special forces and competences as well as procedural means to make a fast reponse to cyber attacks. As a result, the author concludes that there is a need to study and perhaps legally enforce such instruments of critical information infrastructure safety as training and audit of critical information infrastructure actors as it is done in Singapore.
Keywords:
cybersecurity, critical information infrastructure, legal mechanism, institutional mechanism, Federal Security Service, FSS, CII identification, FSTEC, Cyber Security Agency of Singapore, Singapore
Актуальность темы исследования. В 2018 году в России и Сингапуре произошли знаменательные события в сфере правового регулирования кибербезопасности: вступили в силу законы, устанавливающие национальные правовые механизмы обеспечения безопасности критической информационной инфраструктуры (далее - КИИ) – Федеральный закон Российской Федерации от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] (далее – ФЗ-187) и Акт о кибербезопасности Сингапура 2018 года (Cybersecurity Act 2018, далее – CSA) [2].
В 2011 году Россия выступила с инициативой разработки и принятия международного механизма обеспечения кибербезопасности, предложив свою концепцию Конвенции об обеспечении международной информационной безопасности. Однако эта инициатива не получила широкой поддержки из-за существующих разногласий по поводу участников такого механизма, их полномочий, особенностей международного сотрудничества и т.д. Тенденции таковы, что формирование международных механизмов происходит на региональном уровне, в рамках международных межправительственных организаций (например, АСЕАН) и наднациональных образований (Европейский Союз). Инициатива в такой сфере принадлежит одному-двум государствам, которые занимают лидирующую роль в интеграционных процессах и являются наиболее развитыми с точки зрения информационных технологий. Сингапур является таковым среди государств-участников АСЕАН - это один из крупнейших международных финансовых и торговых центров, что делает его идеальной мишенью для кибератак, последствия которых гораздо серьезнее, чем обычное нарушение общественного и экономического благополучия – под удар попадает вся цепочка международных поставок и банковская сфера, а в перспективе – международная экономика. Поэтому его законодательство в сфере обеспечения кибербезопасности отражает последние тенденции в сфере правового регулирования.
Информационная безопасность России всегда была важной частью национальной безопасности, законодатель оперативно реагировал на вызовы, возникающие в этой сфере. Однако в ФЗ-187 впервые была признана важность КИИ для государственной безопасности и определен институциональный механизм ее обеспечения. Соответственно в Уголовный кодекс Российской Федерации была включена статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, установившая ответственность за посягательства на КИИ в форме неправомерного воздействия (часть первая указанной статьи); неправомерного доступа (часть вторая указанной статьи) и нарушении правил эксплуатации КИИ (часть третья указанной статьи). Судебная практика по указанной статье на момент завершения нашего исследования отсутствует, поэтому рано еще судить о совершенстве/несовершенстве российского правового механизма обеспечения кибербезопасности. Тем не менее, эффективное обеспечение безопасности КИИ требует согласованности действий всех вовлеченных субъектов, гармонизации их правотворческой и правоприменительной деятельности. Относительная «новизна» такого объекта правовой охраны, как критическая информационная инфраструктура, требует пересмотра и критического осмысления полномочий субъектов, на которых возложена обязанность обеспечения ее безопасности, а также выработки предложений по совершенствованию их правового статуса. Массовые кибератаки 2017 года, повлекшие выход из строя КИИ в большинстве стран мира, вынуждают государства тратить больше средств на национальные системы обеспечения кибербезопасности, все чаще привлекать представителей частного сектора, в том числе команды CERT (компьютерные группы реагирования на чрезвычайные ситуации, создаваемые научно-техническими учреждениями и компаниями по обеспечению кибербезопасности), к сотрудничеству.
Существует объективная необходимость в обеспечении соответствия российского институционального механизма современным вызовам и требованиям эффективности, что вынуждает обращаться не только к наработкам международных специализированных учреждений (например, таких как Европейского агентства по сетевой и информационной безопасности – European Union Agency for Network and Information Security, далее - ENISA), но и опыту государств, преуспевающих в рассматриваемой сфере, в данном случае - Сингапура. Все вышесказанное свидетельствует об актуальности темы исследования.
Постановка проблемы исследования. КИИ является основной целью посягательств. Самые резонансные атаки последних лет пришлись на коммуникационные сети служб здравоохранения, транспорта, энергетики, охраны общественного порядка, финансовых и банковских систем. Эти секторы представляют критическую ценность для жизни и благополучия общества и государства в целом. Поэтому противодействовать таким посягательствам можно путем создания национальных (а также региональных и международных) механизмов, которые могли бы оптимально защитить КИИ при соблюдении основных гражданских прав [3]. По мнению экспертов, в целом ситуация с защитой КИИ на национальном уровне может быть признана удовлетворительной [4, c. 9]. Государства делегируют полномочия специальным органам кибербезопасности, ведомствам по чрезвычайным ситуациям или другим национальным регулирующим органам, отвечающим за выполнение оперативных задач. Некоторые из этих органов несут ответственность за выполнение дополнительных задач на стратегическом или политическом уровне: разработку национальных программных документов или нормативно-правовых актов, контроль над национальной группой реагирования на инциденты в области компьютерной безопасности и проч. Наделение субъектов механизма необходимыми полномочиями, разработка действенных инструментов и гармонизация их совместной деятельности является основной проблемой для законодателя.
Цели и задачи исследования. Цель исследования – определить преимущества и недостатки институциональных механизмов обеспечения безопасности критических информационных инфраструктур Российской Федерации и Сингапура и сформулировать предложения по совершенствованию российского механизма. Задачи исследования заключаются в сравнении правового статуса субъектов этих механизмов, выделении отличающихся полномочий, и рассмотрении возможностей применения положительного опыта Сингапура.
Методология. С целью получения наиболее достоверных научных результатов будет использован ряд общенаучных (системно-структурный, формально-логический и герменевтический методы) и специальных юридических методов познания (сравнительно-правовой и формально-юридический методы).
Предмет исследования, источниковая база исследования, противоречия в имеющихся исследованиях и авторская позиция. Предмет исследования составляют основные нормативно-правовые акты в сфере регулирования деятельности субъектов обеспечения безопасности критических информационных инфраструктур Российской Федерации и Сингапура, а также международные стандарты в исследуемой сфере.
Выбранная нами для исследования тема мало представлена в российской научной литературе. В частности, особенности защиты КИИ рассматривались в работах А.Г. Козлова [5] и Д.А. Потаповой [6]. Сравнительно большой массив научных работ посвящен нормотворческой и правоприменительной деятельности Федеральной службы по техническому и экспортному контролю [7; 8; 9; 10]. К сожалению, в открытом доступе практически отсутствуют работы, посвященные деятельности Федеральной службы безопасности Российской Федерации [11], что можно объяснить спецификой ее деятельности. В сравнительно-правовом аспекте механизм обеспечения безопасности КИИ был исследован В.О. Агеевым [12], а исследования правового механизма обеспечения кибербезопасности Сингапура в российской юридической науке практически отсутствуют [13].
В зарубежной научной литературе некоторые аспекты исследуемой темы являются предметом активных дискуссий. В частности, в институциональный механизм обеспечения безопасности КИИ предлагается включить представителей частного сектора, поскольку во многих государствах они привлекаются в качестве экспертов в области безопасности сетевых и информационных систем. В своей работе Б. Фарранд и Х. Каррапико констатируют факт изменения статуса (в том числе правового) представителей частного сектора – вплоть до участия в регулировании национальной информационной системы путем предоставления технической экспертизы [14]. Поэтому израильские исследователи обосновывают необходимость эволюции правительственных структур путем формирования единого гражданского ведомства с конкретными оперативными возможностями, отвечающего за защиту национального киберпространства и реализующего полномочия по обеспечению кибербезопасности [3]. Вышеизложенное позволяет судить о тенденции пересмотра базовых характеристик институционального механизма как обеспечения кибербезопасности в целом, так и КИИ в частности. На наш взгляд, имеющиеся научные наработки зарубежных исследователей имеют практическую ценность при совершенствовании российского механизма обеспечения информационной безопасности.
Основная часть. Прежде чем приступить к сравнению национальных институциональных механизмов обеспечения безопасности КИИ, необходимо охарактеризовать общий уровень обеспечения безопасности КИИ в каждом государстве.
Специалисты в сфере кибербезопасности определяют четыре таких уровня: 1) формальное определение транспортного и энергетического секторов как КИИ; 2) определение сектора информационно-коммуникационных технологий в качестве важнейшего объекта КИИ; 3) разработка общей методологической основы для идентификации объектов КИИ с наделением субъектов КИИ полномочиями; 4) разработка правовых инструментов идентификации и охраны/защиты КИИ [4, c. 6]. Особенность решения поставленной задачи усложняется тем, что однозначного определения КИИ ни в международном праве, ни в национальном праве зарубежных стран нет. Например, Европейская комиссия в своей Директиве 2008/114/ЕС определяет КИИ как систему информационно-коммуникационных технологий, которые являются важными инфраструктурами сами по себе или необходимы для функционирования критических инфраструктур (телекоммуникации, компьютеры, программное обеспечение, Интернет, спутники и т. д.) [15]. Многие государства определяют КИИ через перечень секторов, которые определяются как важные, необходимые для обеспечения безопасности общества и государственных структур. В качестве ориентира Европейская комиссия определила перечень из 11 важнейших секторов: энергетика, информационно-коммуникационные технологии, водоснабжение, продовольствие, здравоохранение, финансы, общественный порядок и безопасность, гражданская администрация, транспорт, химическая и ядерная промышленность, космос и исследования [16]. А государства-члены Евросоюза определили собственные секторы КИИ, исходя из своих особенностей: Австрия из предложенного Еврокомиссией списка исключила химическую и ядерную промышленность, Франция исключила химическую и ядерную промышленность, но включила промышленность как отдельный сектор; Италия и Греция исключили почти все секторы за исключением энергетики и транспорта; Великобритания исключила общественный порядок, химическую и ядерную промышленность, космос и исследования, но включила службы экстренной помощи [4, c. 5].
Российская Федерация. Вступивший первого января 2018 года в силу ФЗ-187 в статье 2 дает определение понятий «критическая информационная инфраструктура» (п. 6), «объекты критической информационной инфраструктуры» (п. 7) и «субъекты критической информационной инфраструктуры» (п. 8). КИИ определяется как «объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов». В свою очередь объекты КИИ определяются как «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры», а субъектами КИИ выступают «государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей» (ст. 2 ФЗ-187). Как мы видим, четко определены как секторы КИИ, так и субъекты КИИ. Более того, ФЗ-187 устанавливает критерии категорирования КИИ: это социальная, политическая, экономическая, экологическая значимость, а также значимость для «обеспечения обороны страны, безопасности государства и правопорядка» (ч. 2 ст. 7), а порядок категорирования объектов КИИ и показатели критериев их значимости устанавливаются соответствующим постановлением Правительства России [17].
Однако в ФЗ-187 и связанных подзаконных актах отсутствует положение по отнесению организации к субъектам КИИ: каким образом и на каких основаниях будет происходить такая процедура. На этот пробел указывают и эксперты в сфере информационной безопасности [18]. В такой ситуации или организации должны проявить инициативу и самостоятельно провести идентификацию своих информационных сетей как КИИ с последующим категорированием объектов КИИ и уведомлением уполномоченного федерального органа, или уполномоченный федеральный орган должен издать соответствующее предписание в отношении определенных информационных сетей и организаций. Такая неопределенность замедляет идентификацию КИИ и, соответственно, эффективность обеспечения ее безопасности.
Сингапур. В законодательстве этого государства определение понятия КИИ происходило в несколько этапов. Вначале в Стратегии национальной кибербезопасности 2016 года (National Cybersecurity Strategy 2016) был указан список секторов КИИ: услуги (государственные и аварийные службы, здравоохранение, средства массовой информации, банковские и финансовые услуги), коммунальные службы (энергетика, вода и телекоммуникации) и транспорт (наземный транспорт, морской и портовый, гражданский авиация) [19]. Затем Акт о кибербезопасности 2018 года определил секторы КИИ в рамках термина «существенные службы» (essential services), который означает любые службы, необходимые для национальной безопасности, обороны, внешних отношений, экономики, общественного здравоохранения, общественной безопасности или общественного порядка (section 2). Все эти службы перечислены в Перечне 1 к CSA (всего 46 в списке): они имеют отношение к энергетике, инфокоммуникациям, водоснабжению, здравоохранению, банковскому и финансовому обеспечению, безопасности и экстренной помощи, авиации, наземному транспорту, морскому транспорту, средствам массовой информации и услугам, связанным с функционированием правительства [2].
CSA содержит четкое терминологическое определение КИИ как «компьютера или компьютерной системы, которые полностью или частично находятся в Сингапуре, необходимы для непрерывного функционирования существенных служб, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы» (раздел 2, раздел 7 (1)). Кроме того, раздел 7 CSA устанавливает процедуру идентификации информационных сетей как КИИ: уполномоченный орган издает предписание (notice), содержащее юридически обязательное требование конкретному субъекту об отнесении его «компьютера или компьютерной системы» к КИИ. Основаниями для идентификации КИИ выступают следующие: (a) компьютер или компьютерная система являются необходимыми для постоянного обслуживания существенной службы, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы; (b) компьютер или компьютерная система полностью или частично расположены на территории Сингапура. Изданное в соответствии с требованиями раздела 7(1) CSA предписание (notice) должно содержать следующую информацию (раздел 7(2)): (a) описание компьютера или компьютерной системы, которые идентифицируются как КИИ; (b) данные о субъекте компьютера или компьютерной системы, которые идентифицируются как КИИ; (c) права и обязанности субъекта КИИ в соответствии с CSA; (d) данные о должностном лице уполномоченного органа, ответственном за КИИ; (e) уведомление субъекта КИИ о сроках предоставления возражений против этого предписания в уполномоченный орган; (f) информация о порядке обжалования данного предписания в Министерстве коммуникации и информации Сингапура.
Вышеизложенное позволяет сделать первый промежуточный вывод: как Российская Федерация, так и Сингапур осуществляют обеспечение безопасности КИИ на четвертом, самом высоком уровне (в соответствии с методикой ENISA), однако, неодинаковом. Несмотря на то, что оба государства определили КИИ как объект правовой охраны, российское законодательство пока что не содержит предписаний о процедуре идентификации информационных сетей как КИИ и организаций как субъектов КИИ.
Перейдем к непосредственной характеристике институциональных механизмов.
Российская Федерация. Упомянутый ФЗ-187 устанавливает следующий институциональный механизм обеспечения безопасности КИИ: помимо органов государственной власти, осуществляющих общие меры по безопасности КИИ (ст. 6), предусматривается функционирование специальной государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ст. 5). Рассмотрим правовой статус этих субъектов подробнее.
Президент Российской Федерации определяет основные направления государственной политики и органы специальной компетенции, ответственные за обеспечение безопасности КИИ (ч. 1 ст. 6).
Правительство Российской Федерации определяет механизм категорирования объектов КИИ, особенности осуществления государственного контроля в рассматриваемой сфере и порядок подготовки и использования ресурсов единой сети электросвязи государства для обеспечения функционирования значимых объектов КИИ (ч. 2 ст. 6).
В соответствии с Указом Президента от 25 ноября 2017 года №569 в качестве федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ, назначена Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК), действующая на основании соответствующего положения [20]. В отношении безопасности КИИ ФСТЭК наделена следующими полномочиями: 1) внесение предложений о совершенствовании нормативно-правового регулирования; 2) утверждение порядка и ведение реестра значимых объектов КИИ; 3) утверждение формы направления сведений о результатах категоризации объектов КИИ; 4) установление требований по обеспечению безопасности значимых объектов КИИ и к созданию систем безопасности таких объектов; 5) осуществление государственного контроля в рассматриваемой сфере (ч. 3 ст. 6).
В качестве федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, назначена Федеральная служба безопасности (далее – ФСБ) [21]. Ее полномочия включают: 1) внесение предложений о совершенствовании нормативно-правового регулирования; 2) правовое регулирование деятельности Национального координационного центра по компьютерным инцидентам и координация действий субъектов КИИ (оценка безопасности КИИ, предоставление и обмен информацией о компьютерных инцидентах, использование средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты) (ч. 4 ст. 6).
Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи - Министерство цифрового развития, связи и массовых коммуникаций по согласованию с ФСБ утверждает порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (ч. 5 ст. 6).
Особую роль в механизме обеспечения играет специальная государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, выполняющая функции защиты КИИ. Она включает в себя подразделения и должностные лица ФСБ, представителей субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты, а также созданный Федеральной службой безопасности России Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), действующий на основе соответствующего положения [22]. Его основной задачей является обеспечение координации деятельности субъектов КИИ в указанной сфере (п. 3). Для ее выполнения НКЦКИ осуществляет сбор, накопление, систематизацию и анализ информации, поступающей от субъектов КИИ и ФСТЭК, а также организует и осуществляет обмен этой информацией как между российскими субъектами КИИ, так и между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями (п. 4.2).
Сингапур. В Стратегии кибербезопасности от 2016 года выделены четыре основных направления обеспечения безопасности КИИ: (i) построение устойчивой инфраструктуры для усиления КИИ путем тесного сотрудничества частного сектора и представителей публичного сектора, уполномоченных на обеспечение кибербезопасности; (ii) создание безопасного киберпространства путем привлечения не только правительственных субъектов, но и гражданского общества и предпринимателей; (iii) развитие динамичной экосистемы кибербезопасности за счет увеличения количества специалистов в результате сотрудничества частного сектора и образовательных заведений; (iv) усиление международного сотрудничества, особенно в рамках АСЕАН [19].
В соответствии с CSA основным субъектом институционального механизма обеспечения безопасности КИИ Сингапура является Агентство кибербезопасности (Cyber Security Agency of Singapore), которое возглавляет директор и по совместительству - Комиссар кибербезопасности (Commissioner on Cybersecurity, далее – Комиссар) в правительстве Сингапура. На должность директора и Комиссара назначается заместитель министра обороны по технологиям. Для выполнения возложенных на него полномочий Комиссар по согласованию с Министром коммуникаций и связи формирует штат Агентства кибербезопасности, в который могут быть включены (a) служащие других министерств; (b) служащие организаций; (c) служащие полиции в соответствии с Актом о полицейских силах Сингапура (Police Force Act) (секция 6). Как было указано выше, обжалование действий и решений Комиссара возможно в Министерстве коммуникаций и связи непосредственно Министру.
Секция 5 CSA устанавливает следующие полномочия Комиссара: (а) осуществление общего надзора за безопасностью КИИ; (b) консультирование правительства или других государственных органов по вопросам кибербезопасности; (c) мониторинг киберугроз независимо от места их возникновения; (d) оперативное реагирование на киберинциденты, угрожающие национальной безопасности, обороне, экономике, внешним связям, общественному здравоохранению, общественному порядку или общественной безопасности или любым основным службам Сингапура независимо от места их возникновения; (e) осуществление контроля над субъектами КИИ в отношении кибербезопасности; (f) разработка кодексов практики и стандартов обеспечения кибербезопасности субъектами КИИ; (g) представление правительства на международном уровне по вопросам кибербезопасности; (h) сотрудничество с командами CERT других стран; (i) развитие и продвижение отрасли услуг кибербезопасности в Сингапуре; (j) лицензирование и установление стандартов в отношении поставщиков услуг кибербезопасности; (k) установление стандартов в отношении продуктов или услуг кибербезопасности, а также установление граничного уровня безопасности для компьютерного оборудования или программного обеспечения, включая схемы сертификации или аккредитации; (l) поощрение, развитие, поддержка, улучшение компетенций и профессиональных стандартов лиц, занятых в сфере кибербезопасности; (m) поддержание развития технологий, исследований и разработок в этой сфере; (n) содействие повышению осведомленности о необходимости и важности кибербезопасности в Сингапуре; (o) выполнение иных обязанностей, которые могут быть возложены на Комиссара в соответствии с любым другим законом.
Комиссар также уполномочен издавать предписания (notice), которые могут касаться: (а) действий, предпринимаемых субъектами КИИ в связи с угрозой кибербезопасности; (b) соблюдения субъектами КИИ любого кодекса практики или стандарта; (c) назначения аудитора для проверки субъектов КИИ на предмет соблюдения ими требований CSA или любого кодекса практики или стандарта; (d) любых других вопросов, которые он сочтет необходимыми или целесообразными для обеспечения кибербезопасности КИИ (секция 12).
Раздел 4 CSA устанавливает полномочия Комиссара по предотвращению и реагированию на киберугрозы и киберинциденты. В частности, речь идет о полномочиях по: 1) расследованию и предотвращению киберинцидентов (секция 19) и серьезных киберинцидентов (секция 20); 2) назначению технических экспертов по кибербезопасности (секция 22); 3) принятию мер и требований в случае чрезвычайной ситуации (секция 23). Секция 23, помимо прочего, устанавливает уголовную ответственность субъектов КИИ и иных лиц за невыполнение таких мер и требований (в форме штрафа и (или) лишения свободы).
Функция контроля выполняется путем использования Агентством кибербезопасности Сингапура инструмента аудита – каждый год с даты идентификации объектов КИИ назначенные Комиссаром аудиторы осуществляют оценку рисков КИИ, а каждые два года - проверку соответствия КИИ требованиям CSA и применимым кодексам практики и стандартам (секция 15). Копию отчета аудитора субъект КИИ должен направить Комиссару в течение 30 дней после завершения аудита. В случае отказа субъекта КИИ от прохождения аудита предусмотрена уголовная ответственность в виде штрафа до 100 тыс. долл. США и/или лишения свободы на срок до 2 лет, а в случае продолжающегося преступления дополнительно назначается штраф, не превышающий 5 тыс. долл. США за каждый день (или часть дня), в течение которого правонарушение продолжается после предъявления обвинения.
Заслуживает внимания такое полномочие Комиссара, как проведение обязательных учений с целью проверки состояния готовности субъектов КИИ к киберинцидентам. В специальном предписании (notice) Комиссар указывает субъектов КИИ, которые обязаны принять участие в предстоящих учениях. В случае уклонения предусмотрена ответственность в виде штрафа до 100 тыс. долл. США (секция 16).
Вышесказанное позволяет сделать второй промежуточный вывод об особенностях институциональных механизмов обеспечения безопасности КИИ. Российский механизм представлен рядом органов государственной власти общей и специальной компетенции. Президент и Правительство Российской Федерации осуществляют общую координацию деятельности органов специальной компетенции – ФСБ, ФСТЭК и НКЦКИ. ФСБ осуществляет правовое регулирование деятельности НКЦКИ, координирующего деятельность субъектов КИИ путем сбора, накопления, систематизации и анализа информации, поступающей от них и ФСТЭК. В свою очередь, ФСТЭК ведет реестр значимых объектов КИИ и устанавливает требования по обеспечению их безопасности, а также осуществляет государственный контроль в рассматриваемой сфере. Преимуществом российского механизма является активное участие ФСБ - службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки.
В Сингапуре институциональный механизм обеспечения безопасности КИИ представлен органом специальной компетенции – Агентством кибербезопасности Сингапура, обладающим широкими полномочиями. Однако, в отличие от России, представители правоохранительных органов должны специально привлекаться (назначаться) Комиссаром для выполнения определенных функций, например, по расследованию преступлений.
Оба государства привлекают представителей частного сектора к участию работе субъектов институционального механизма (представители секторов КИИ в работе НКЦКИ России и представители организаций, независимые аудиторы в работе Агентства кибербезопасности Сингапура).
Заслуживают внимания такие меры по обеспечению безопасности КИИ как проведение аудиторских проверок и учений для субъектов КИИ. Предложенный Сингапуром инструмент аудита может быть применен и в России, но с учетом соотношения его с инструментом государственного контроля. В Сингапуре государственный контроль в рассматриваемой сфере осуществляется опосредованно – через аудиторов, и отчет в Агентство кибербезопасности направляется не самим аудитором, а субъектом КИИ. Интересен и опыт проведения учений для субъектов КИИ – эти учения носят не всеохватывающий характер, а избирательный – для определенных объектов и субъектов КИИ, готовых/неготовых к кибератакам разного уровня и интенсивности. Так достигается эффективность применения мер безопасности по отношению к разным секторам КИИ. На наш взгляд, эти особенности сингапурского механизма представляют интерес для дальнейшего изучения и внедрения в России.
Выводы. Подводя итоги нашего исследования, считаем важным отметить следующее. Как в России, так и в Сингапуре законы, устанавливающие институциональный механизм обеспечения безопасности КИИ, действуют всего лишь первый год. Однако с точки зрения международных стандартов уровень этих законов и соответственно обеспечения безопасности КИИ в обоих государствах достаточно высок. Недостатком российского законодательства является отсутствие правового регулирования процедуры идентификации информационных сетей как объектов и организаций как субъектов КИИ. Особенностью российского механизма является множественность субъектов, обеспечивающих безопасность КИИ, в отличие от сингапурского, представленного одним ведомством. Преимуществом российского механизма является участие службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки (ФСБ). Мы склоняемся к мнению о необходимости дальнейшего изучения и, возможно, закрепления в российском законодательстве таких инструментов обеспечения безопасности КИИ, разработанных в Сингапуре, как учения и аудит субъектов КИИ.
References
1. O bezopasnosti kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii : federal'nyi zakon ot 26.07.2017 №187-FZ [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: www.consultant.ru/document/cons_doc_LAW_220885/.
2. Cybersecurity Act 2018 [Elektronnyi resurs] // Cyber Security Agency of Singapore. – Rezhim dostupa: https://www.csa.gov.sg/legislation/cybersecurity-act.
3. Matania E. Structuring the national cyber defence: in evolution towards a Central Cyber Authority / E. Matania, L. Yoffe, T. Goldstein // Journal of Cyber Policy. 2017. № 2(1). Pp. 16-25.
4. Mattioli R. Methodologies for the identification of Critical Information Infrastructure assets and services: Guidelines for charting electronic data communication networks / R. Mattioli, C. Levy-Bencheton. – Heraklion: European Union Agency for Network and Information Security (ENISA), 2014. – 43 p.
5. Kozlov A.G. O sisteme zashchity informatsii / A.G. Kozlov // Zashchita informatsii. Insaid. 2010. № 6 (36). S. 32-35.
6. Potapova D.A. Otsenka ushcherba ot komp'yuternykh intsidentov dlya kriticheskoi informatsionnoi infrastruktury / D.A. Potapova, S.I. Zhuravlev // Materialy 45-i Mezhdunarodnoi nauchno-tekhnicheskoi konferentsii molodykh uchenykh, aspirantov i studentov. V 2-kh t. 2018. S. 447-454.
7. Budovskikh I.A. Otsenka primenimosti dlya audita bezopasnosti gosudarstvennykh is metodiki opredeleniya ugroz bezopasnosti informatsii, razrabotannoi FSTEK Rossii / I.A. Budovskikh, Yu.N. Zaginailov // Izmerenie, kontrol', informatizatsiya: Materialy XVII mezhdunarodnoi nauchno-tekhnicheskoi konferentsii. 2016. S. 240-243.
8. Gismatov A.R. Osobennosti spetsifiki primeneniya dokumentov FSTEK Rossii v oblasti zashchity gosudarstvennykh informatsionnykh sistem / A.R. Gismatov, F.T. Bairushin // Aktual'nye problemy sotsial'nogo, ekonomicheskogo i informatsionnogo razvitiya sovremennogo obshchestva : Vserossiiskaya nauchno-prakticheskaya konferentsiya, posvyashchennaya 100-letiyu so dnya rozhdeniya pervogo rektora Bashkirskogo gosudarstvennogo universiteta Chanbarisova Shaikhully Khabibullovicha. Bashkirskii gosudarstvennyi universitet. 2016. S. 53-55.
9. Splyukhin D.V. Analiz noveishikh trebovanii FSTEK i obshchie resheniya sushchestvuyushchikh problem zashchity informatsionnykh sistem / D.V. Splyukhin, D.B. Nikolaev // Matematika i matematicheskoe modelirovanie : sbornik materialov X vserossiiskoi molodezhnoi nauchno-innovatsionnoi shkoly. 2016. S. 28-29.
10. Portnova A.S. Analiz sovremennykh normativno-metodicheskikh dokumentov FSTEK Rossii v oblasti sistem obnaruzheniya vtorzhenii / A.S. Portnova // Bezopasnye informatsionnye tekhnologii: Sbornik trudov Vos'moi vserossiiskoi nauchno-tekhnicheskoi konferentsii. NUK «Informatika i sistemy upravleniya» / Pod. red. M.A.Basaraba. 2017. S. 340-346.
11. Trufanov V.N. Podkhod k sozdaniyu tsentrov obrabotki personal'nykh dannykh v organizatsiyakh, obespechivayushchikh zashchitu gosudarstvennykh informatsionnykh resursov / V.N. Trufanov, D.A. Shchevelev, I.V. Demidov, S.V. Sovalin // Informatizatsiya i svyaz'. 2018. № 1. S. 56-62.
12. Ageev V.O. Obespechenie zashchity GIS v zarubezhnykh i otechestvennykh sistemakh / V.O. Ageev, A.K. Shilov // Informatsionnoe protivodeistvie ugrozam terrorizma. 2015. № 24. S. 312-315.
13. Goryan E.V. Vedushchaya rol' Singapura v obespechenii kiberbezopasnosti v ASEAN: promezhutochnye rezul'taty i perspektivy dal'neishego rasshireniya / E.V. Goryan // Territoriya novykh vozmozhnostei. Vestnik Vladivostokskogo gosudarstvennogo universiteta ekonomiki i servisa. 2018. T. 10. №3. S. 101-116.
14. Farrand B. Blurring Public and Private: Cybersecurity in the Age of Regulatory Capitalism / B. Farrand, H. Carrapico // Security Privatization: How Non-Security-Related Private Businesses Shape Security Governance. – Basel: Springer International Publishing AG, 2018. - Pp.197-217.
15. Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European Critical Infrastructures and the assessment of the need to improve their protection. Official Journal L, 345(23), 12.
16. Green Paper on a European Programme for Critical Infrastructure Protection. COM 576 final (2005).
17. Ob utverzhdenii Pravil kategorirovaniya ob''ektov kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii, a takzhe perechnya pokazatelei kriteriev znachimosti ob''ektov kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii i ikh znachenii : postanovlenie Pravitel'stva RF ot 8 fevralya 2018 g. №127 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: www.consultant.ru/document/cons_doc_LAW_290595/.
18. Lutsik P. Sub''ekt KII ili ne sub''ekt, vot v chem vopros! [Elektronnyi resurs] / P. Lutsik // Tsifrovaya podstantsiya. – Rezhim dostupa: http://digitalsubstation.com/blog/2018/05/21/subekt-kii-ili-ne-subekt-vot-v-chem-vopros/
19. Singapore’s Cybersecurity Strategy 2016 [Elektronnyi resurs] // Cyber Security Agency of Singapore. – Rezhim dostupa: https://www.csa.gov.sg/news/publications/singapore-cybersecurity-strategy.
20. Voprosy Federal'noi sluzhby po tekhnicheskomu i eksportnomu kontrolyu : Ukaz Prezidenta RF ot 16.08.2004 №1085 (red. ot 08.05.2018) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: www.consultant.ru/document/cons_doc_LAW_14031/.
21. O sovershenstvovanii gosudarstvennoi sistemy obnaruzheniya, preduprezhdeniya i likvidatsii posledstvii komp'yuternykh atak na informatsionnye resursy Rossiiskoi Federatsii: Ukaz Prezidenta Rossiiskoi Federatsii ot 22 dekabrya 2017 goda №620 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_285915/.
22. O Natsional'nom koordinatsionnom tsentre po komp'yuternym intsidentam (vmeste s Polozheniem o Natsional'nom koordinatsionnom tsentre po komp'yuternym intsidentam): prikaz FSB Rossii ot 24 iyulya 2018 goda №366 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_306334/.
|