Информационное право
DOI 10.47643/1815-1337_2020_10_129
АКТУАЛЬНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ РАЗВИТИЯ ЦИФРОВОЙ ЭКОНОМИКИ ДЕМЬЯНЕЦ Михаил Владимирович,
кандидат юридических наук, доцент кафедры банковского права и финансово-правовых дисциплин ИПиНБ РАНХиГС, доцент кафедры права Московского педагогического государственного университета. Email: m.demyanets@gmail.com
Работа выполнена при поддержке гранта РФФИ № 18-29-16013 мк.
Краткая аннотация: В статье рассматриваются вопросы обеспечения информационной безопасности посредством принятия международных и национальных организационно-правовых мер, а также роли киберустойчивости в процессе защиты информации.
Abstract: The article discusses the issues of ensuring information security through the adoption of international and national organizational and legal measures, as well as the role of cyber resilience in the process of protecting information.
Ключевые слова: информационные технологии, информация, информационные правоотношения, международная безопасность, информационная безопасность, международные организации, тенденции правового регулирования, киберу-стойчивость.
Keywords: Information technology, information, information legal relations, international security, information security, international organizations, trends in legal regulation, cyber resilience.
В условиях развития цифровой экономики зависимость организаций от информационно-коммуникационных технологий продолжает расти, изменяются риски и угрозы международной, информационной безопасности1. 15 января 2020 г. в отчете Всемирного экономического форума потенциальное воздействие кибератак было названо одним из ключевых рисков глобальной экономики2. В течение всего 2020 г., по данным одного из российских разработчиков программного обеспечения, количество кибератак существенно увеличилось по сравнению с первым кварталом 2020 г. Наибольшее их число было зафиксировано в апреле и мае, т.е. в разгар ограничений, введенных государствами в связи с коронавирусом. Такая динамика, подтвержденная аналитическим исследованием Positive Technologies «Актуальные киберугрозы: II квартал 2020 года»3, обусловлена, в том числе тем, что информационно-коммуникационные технологии в условиях пандемии стали фактически основой развития экономик и конкурентным преимуществом.
Возрастающая в геометрической прогрессии роль технологии и расширение сфер ее внедрения и применения, ставит перед обществом и государствами новые вызовы. Так, в 2019 г. на очередной сессии Экономического и Социального Совета ООН «Прогресс, достигнутый в осуществлении решений и последующей деятельности по ито-
1 См., напр.: Полякова Т.А., Минбалеев А.В., Кроткова Н.В. Обзор Международной научно-практической конференции "Информационное пространство: обеспечение информационной безопасности и право" - Первые Бачиловские чтения // Государство и право. 2018. № 9. С. 138-148. DOI: 10.31857/S013207690001525-9.
См.: Отчет Всемирного экономического форума о глобальных рисках, опубликованный 15 января 2020 г. URL: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (дата обращения: 01.02.2020).
3 См: Исследование Positive Technologies «Актуальные киберугрозы: II квартал
2020 года»: URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-
threatscape-2020-q2/#id5 (дата обращения: 10.09.2020).
гам Всемирной встречи на высшем уровне по вопросам информационного общества на региональном и международном уровнях» было особенно отмечено, что «одной из главных проблем для правительств и других заинтересованных сторон является кибербезопасность»4.
По мнению Министров стран - участниц «Группы Двадцати», цифровая экономика способствует достижению целей в области устойчивого экономического развития, а равно предотвращению и преодолению кризисных ситуаций и помощи субъектам малого и среднего предпринимательства в восстановлении от воздействия коронавируса, при этом именно безопасность занимает центральное место в глобальном экономическом ответе на COVID-195. Однако, о какой именно безопасности идет речь в документах «Группы Двадцати», не совсем понятно.
Вопросы терминологической неопределенности в части информационной безопасности и их влияние на развитие международной, национальной безопасности поднимались на международном уровне неоднократно. В 2014 г. на 69-й сессии ООН в рамках рассмотрения вопросов достижений в сфере информатизации и телекоммуникаций в контексте международной безопасности Францией было особо отмечено, что вместо понятия «защита информации» следует использовать «безопасность информационных систем» или «кибербезопасность». Обозначенная позиция обусловлена тем, что Франция не считает саму информацию потенциальным источником угрозы, от которой необходима защита. В Соединенных Штатах Америки с 2011 г. Нацио-
4 См.: URL: https://unctad.org/en/PublicationsLibrary/a74d62_ru.pdf (дата обращения: 27.09.2020).
5 См.: п. 26 Заявления по цифровой экономике, сформулированного 22 июля 2020 г. Министрами стран - участниц «Группы Двадцати». URL: https://g20.org/en/media/Documents/G20SS_Declaration_G20%20Digital%20Economy %20Ministers%20Meeting_EN.pdf (дата обращения: 10.09.2020).
нальным институтом стандартов и технологий (The National Institute of Standards and Technology (NIST) информационная безопасность рассматривается как защита информации и информационных систем от несанкционированного доступа, а кибербезопасность является способностью защищать или защищать использование киберпространства от кибератак. Необходимость обособленного рассмотрения вопросов обеспечения информационной безопасности на международном уровне была инициирована Российской Федерацией еще в 1998 г. на 79 пленарном заседании Генеральной Ассамблеи ООН при разработке резолюции A/53/576 и вызвана тем, что информационные, информационно-коммуникационные, цифровые технологии потенциально могут создавать угрозы для политической, экономической, социальной систем государств и нанести ущерб их безопасности, сформировавшейся как в военной, так и в гражданской сфере. В целях минимизации указанных рисков на международном, региональном и национальном уровнях были приняты меры правового характера. В частности, речь идет об установлении общепризнанных принципов и норм международного права, применимых в целях защиты информации6; разработке национальных стратегий
7 ft Q
и планов', национального законодательства8, стандартов9,
6 См., напр.: Конвенция о защите прав человека и основных свобод (заключена в Риме 4 ноября 1950 г.) // Бюллетень международных договоров. 2002. № 3; Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28 января 1981 г.) // Собрание законодательства РФ. 2014. № 5, Ст. 419; Конвенция Организации Объединенных Наций против коррупции (принята в г. Нью-Йорке 31.10.2003 Резолюцией 58/4 на 51-ом пленарном заседании 58-ой сессии Генеральной Ассамблеи ООН) // Собрание законодательства РФ. 2006. № 26. Ст. 2780; Конвенции против транснациональной организованной преступности (принята в г. Нью-Йорке 15.11.2000 Резолюцией 55/25 на 62-ом пленарном заседании 55-ой сессии Генеральной Ассамблеи ООН) // Собрание законодательства РФ. 2004. № 40. Ст. 3882.
7 Стратегия кибербезопасности 2016: обеспечение инноваций, роста и процветания (Австралия). URL: https://cybersecuritystrategy.homeaffairs.gov.au/AssetLibrary/dist/assets/images/PMC-
Cyber-Strategy.pdf (дата обращения: 10.09.2020); Национальная стратегия кибер-
безопасности 2020 (Бразилия). URL: http://www.planalto.gov.br/ccivil_03/_Ato2019-
2022/2020/Decreto/D10222.htm (дата обращения: 10.09.2020); Национальная
стратегия кибербезопасности (Канада). URL: https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntnl-cbr-scrt-strtg/index-en.aspx (дата
обращения: 10.09.2020); Национальный план действий по кибербезопасности (Канада). URL: https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntnl-cbr-scrt-strtg-
2019/index-en.aspx (дата обращения: 10.09.2020); Французская национальная стратегия цифровой безопасности (Франция). URL: https://www.ssi.gouv.fr/en/cybersecurity-in-france/ (дата обращения: 10.09.2020); Итальянский план действий по кибербезопасности (Италия). URL: https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2019/05/Italian-cybersecurity-action-plan-2017.pdf (дата обращения: 10.09.2020); Политика кибербезопасности для защиты критически важной инфраструктуры (Япония). URL: https://www.nisc.go.jp/eng/pdf/cs_policy_cip_eng_v4.pdf (дата обращения: 10.09.2020); Национальная стратегия кибербезопасности (Республика Корея). URL: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/National_Strategies_Repository/National%20Cybersecurit y%20Strategy_South%20Korea.pdf (дата обращения: 10.09.2020); Национальная цифровая стратегия (Мексика). URL: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/National_Strategies_Repository/National%20Cybersecurit y%20Strategy_South%20Korea.pdf (дата обращения: 10.09.2020); и др.
См, напр.: Закон о киберпреступности 26.388 (Аргентина). URL: https://www.argentina.gob.ar/justicia/derechofacil/leysimple/delitos-informaticos (дата обращения: 10.09.2020); Общий закон о защите персональных данных (LGPD) (Бразилия). URL: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm (дата обращения: 10.09.2020); Закон о защите личной информации и электронных документах (PIPEDA) (Канада). URL: Нарушение правил безопасности (Канада). URL: https://laws-lois.justice.gc.ca/ENG/ACTS/P-8.6/index.html (дата обращения: 10.09.2020); Закон Китайской Народной Республики о кибербезопасности (Закон о безопасности в Интернете) (Китай) // URL: http://pkulaw.cn/fulltext_form.aspx?gid=283838# (дата обращения: 10.09.2020); Закон о кибербезопасности (ЕС). URL: https://ec.europa.eu/digital-single-
правил обеспечивающих функционирование международных, региональных и национальных организационных структур, обеспечивающих защиту информации в том числе в киберпространстве.
В целях уменьшения потенциальных рисков и угроз особые задачи выполняют международные организации, одной из которых является Международный Союз Электросвязи (МЭС), результатом работы которого является создание на региональном и национальном уровне групп реагирования на нарушение компьютерной защиты (CERT), групп реагирования на инциденты в сфере компьютерной безопасности (CSIRT) и групп реагирования на компьютерные инциденты (CIRT). Например, в 2010 году после принятия на уровне Европейского Союза программы, регулирующей цифровые технологии см. IP / 10/58110 и MEMO / 10/20011) была создана общеевропейская группа реагирования на нарушение компьютерной защиты, которая осуществляет свою деятельность как в частном, так и государственном секторе. Аналогичные органы, предназначенные для реагирования на киберинциденты, были созданы в различные периоды времени в: Бразилии, Индии, Испании, Италии, Мексике, Республике Корее, Российской Федерации, Сингапуре, США и др.
В Российской Федерации наравне с национальным центром реагирования на компьютерные инциденты (РУ-ЦЕРТ), в качестве структурного подразделения Банка России был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Наделение Банка России отдельными полномочиями по выявлению киберрисков является не случайным. С ростом количества киберпреступлений, изощренности правонарушителей киберриски становятся все более опасными и одна
market/en/eu-cybersecurity-act (дата обращения: 10.09.2020); Общий регламент по защите данных (GDPR) (ЕС). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504 (дата обращения: 10.09.2020); Закон о защите личной информации (APPI) (Япония). URL: https://www.ppc.go.jp/en/news/archives/2020/20200618/ (дата обращения: 10.09.2020); Основной закон о кибербезопасности (Япония). URL: http://www.japaneselawtranslat¡on.gojp/law/deta¡l/?¡d=2760&vm=04&re=01 (дата
обращения: 10.09.2020); Закон о защите личной информации (PIPA) (Республика Корея). URL: https://www.law.go.kr/lsInfoP.do?lsiSeq=195062#0000 (дата обращения: 10.09.2020); Закон о кибербезопасности (Сингапур). URL: https://www.csa.gov.sg/legislation/cybersecurity-act (дата обращения: 10.09.2020); и др.
Стандарты и средства контроля: дополнительный стандарт методологии управления рисками безопасности (Бразилия). URL: http://www.japaneselawtranslat¡on.go.jp/law/deta¡l/?¡d=2760&vm=04&re=01 (дата обращения: 10.09.2020); Базовые меры кибербезопасности для малых и средних организаций (Канада). URL: https://cyber.gc.ca/en/guidance/baseline-cyber-security-controls-small-and-medium-organ¡zat¡ons (дата обращения: 10.09.2020); Общие стандарты мер информационной безопасности государственных органов (Япония). URL: https://202.214.216.26/eng/pdf/Common%20Standards(FY2016).pdf (дата обращения: 10.09.2020); Система управления личной информацией и информационной безопасностью (Республика Корея). URL: https://¡sms.k¡sa.or.kr/ma¡n/¡sp¡ms/¡ntro/ (дата обращения: 10.09.2020); Практический кодекс кибербезопасности для критически важной информационной инфраструктуры (Сингапур); Essential Cybersecurity Controls (ECC-1: 2018) (Саудовская Аравия). URL: https://nca.gov.sa/files/ecc-en.pdf (дата обращения: 10.09.2020) 10 См.: URL: https://ec.europa.eu/commission/presscorner/detail/en/IP_10_581 (дата обращения: 15.09.2020).
11См.: URL: https://ec.europa.eu/commission/presscorner/detail/en/MEM0_10_200 (дата обращения: 15.09.2020).
Информационное право
из самых серьезных существующих угроз - сбои в надлежащем функционирования национальной и глобальной финансовых системы, обеспечивают функционирования политических, экономических, социальных систем любого государства. В 2018 г. Банком России совместно с Positive Technoligies был подготовлен отчет об основных типах компьютерных атак в кредитно-финансовой сфере12.
Одна из наиболее распространенных угроз - несоблюдение требований информационной безопасности сотрудниками кредитных организаций, которая способствует успешным кибератакам с применением методов социальной инженерии. «В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок»13. Второй угрозой является ненадлежащее обеспечение безопасности внутренней сети банков. «Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков» 14.
В силу того, что обеспечение информационной безопасности осуществляется не только посредством применения мер уполномоченных государственных органов, но и является непосредственной задачей самих кредитных организаций и их клиентов, одной из ключевых задач Банка России по обеспечению информационной безопасности является развитие киберустойчивости представителей финансового сектора. Такая задача определяется согласно Основным направлениям развития информационной безопасности кредитно-финансовой сферы на период 2019 -2021 годов15. И если информационная, кибербезопасность является реакцией на риски, угрозы, инциденты, то киберу-стойчивость направлена на минимизацию рисков, недопущения инцидентов кредитными организациями посредством проведения различных мероприятий, т.е. кредитная ор-
ганизация должна планировать возможные инциденты, прогнозировать их наступление, разрабатывать индивидуальные меры противодействия возникшим инцидентам, а также обладать технической и организационной структурой, позволяющей в кратчайшие сроки и с минимальными потерями восстановить надлежащее функционирование кредитной организации.
Несмотря на то что киберустойчивость предполагает принятие названных ранее мер кредитной организацией, их разработка, внедрение и применение должно осуществляться согласно требованиям международных стандартов, действующего российского законодательства и актов технического регулирования включая: Международный стандарт ^0/1ЕС 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»16, Международный стандарт ^0/1ЕС 22301:2012 «Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования»17, ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. № 822-ст)18, Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России»19 и др.
В завершение отметим, что устранение существующих рисков, обеспечение информационной безопасности, развитие киберустойчивости организаций возможно посредством развития международного и национального законодательства, разработки стандартизированных процедур, как основы противодействию возникающим инцидентам, повышение культуры работы с информацией и технологиями, формирование методологии киберустойчивости и кибербезо-пасности на уровне конкретных организаций финансового сектора. Особые задачи при построении системы информационной, кибербезопасности и киберустойчивости стоят именно перед саморегулированием. При этом, обладая действующими системами защиты информации, успешная практика отдельных организаций может способствовать повышению информационной безопасности и киберустойчивости национальной, международной финансовой системы.
12См.: URL: http://www.cbr.ru/Content/Document/File/72724/DIB_2018_20190704.pdf (дата обращения: 15.09.2020).
3См. ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков. URL: https://www.ptsecurity.com/ru-ru/about/news/fincert-pri-uchastii-positive-technologies-vypustil-otchet-ob-atakah/ (дата обращения: 15.09.2020). 1 См.: там же. 15 СПС «КонсультантПлюс».
16 См.: URL: https://www.iso.org/standard/54534.html дата обращения: 15.09.2020).
17 См.: URL: https://www.iso.org/standard/50038.html (дата обращения: 15.09.2020).
18 См.: СПС «КонсультантПлюс».
19 См.: Вестник Банка России. 2019. 22 марта.
Библиография:
1. Исследование Positive Technologies «Актуальные киберугрозы: II квартал 2020 года»: URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q2/#id5 (дата обращения: l0.09.2020).
2. Отчет Всемирного экономического форума о глобальных рисках, опубликованный 15 января 2020 г. URL: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (дата обращения: 01.02.2020).
3. Полякова Т.А., Минбалеев А.В., Кроткова Н.В. Обзор Международной научно-практической конференции "Информационное пространство: обеспечение информационной безопасности и право" - Первые Бачиловские чтения // Государство и право. 2018. № 9. С. 138148. DOI: 10.31857/S013207690001525-9.
4. ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков. URL: https://www.ptsecurity.com/ru-ru/about/news/fincert-pri-uchastii-positive-technologies-vypustil-otchet-ob-atakah/ (дата обращения: 15.09.2020).