Образование. Наука. Научные кадры. 2022. № 2. С. 102—107. Education. Science. Scientific personnel. 2022;(2):102—107.
ПУБЛИЧНО-ПРАВОВЫЕ (ГОСУДАРСТВЕННО-ПРАВОВЫЕ) НАУКИ
Научная статья
УДК 342 NIION: 2007-0062-2/22-090
doi: 10.24412/2073-3305-2022-2-102-107 MOSURED: 77/27-004-2022-02-290
Зарубежный опыт установления компетенции уполномоченного государственного органа в сфере кибербезопасности (на примере Республики Узбекистан)
Владимир Михайлович Редкоус
Институт государства и права РАН, Москва, Россия, [email protected]
Аннотация. В статье рассмотрен положительный опыт законодательного закрепления компетенции уполномоченного государственного органа в сфере кибербезопасности в соответствии с Законом Республики Узбекистан от 15 апреля 2022 г. № ЗРУ-764«О кибербезопасности», определены возможности его адаптации в российских условиях.
Ключевые слова: административное право, административно-правовое регулирование, информационное право, уполномоченный государственный орган, национальная безопасность, государственная безопасность, кибер-безопасность, киберугроза, информационная война, законодательное обеспечение
Для цитирования: Редкоус В.М. Зарубежный опыт установления компетенции уполномоченного государственного органа в сфере кибербезопасности (на примере Республики Узбекистан) // Образование. Наука. Научные кадры. 2022. № 2. С. 102—107. doi: 10.24412/2073-3305-2022-2-102-107.
PUBLIC LEGAL (STATE LEGAL) SCIENCES
Original article
Foreign experience in establishing the competence of the authorized state body in the field of cybersecurity (on the example of the Republic of Uzbekistan)
Vladimir M. Redkous
Institute of the State and Law of the Russian Academy of Science, Moscow, Russia, [email protected]
Abstract. The article considers the positive experience of legislative consolidation of the competence of the authorized state body in the field of cybersecurity in accordance with the Law of the Republic of Uzbekistan dated April 15, 2022 No. ZRU-764 "On Cybersecurity", the possibilities of its adaptation in Russian conditions are determined.
Keywords: administrative law, administrative and legal regulation, information law, authorized state bodies, National security, state security, cybersecurity, cyber threat, information war, legislative support
For citation: Redkous V.M. Foreign experience in establishing the competence of the authorized state body in the field of cybersecurity (on the example of the Republic of Uzbekistan) // Obrazovaniye. Nauka. Nauchnyye kadry = Education. Science. Scientific personnel. 2022;(2):102-107. (In Russ.). doi: 10.24412/2073-3305-2022-2-102-107.
Современное развитие административного права характеризуется поиском форм и методов государственного управления, которые в наибольшей степени способствовали бы
© Редкоус В.М., 2022
решению насущных задач стабильного политического, экономического, научно-технического, культурного, социального развития нашей страны [1]. В орбиту административно-правового регулирования попадают все новые и новые виды общественных отношений [3], которые, будучи
урегулированными нормами административного права, становятся административно-правовыми.
На состоявшемся 20 мая 2022 г. заседании Совета безопасности Российской Федерации, посвященном защите и обеспечению надежной работы информационных систем и сетей связи, выработке мер, призванных парировать внешние угрозы в этой сфере, выступил Президент РФ В.В. Путин, обратив внимание на необходимость всеми силами, всеми возможностями противодействовать киберагрессии, сказав, что «по сути, против России развязана настоящая агрессия, война в информационном пространстве» [4]. В таких условиях был предложен ряд организационных мер, направленных на совершенствование управления в рассматриваемой области с целью недопущения возникновения, распространения и негативного влиянию на нашу страну киберугроз, являющихся зачастую угрозами национальной и государственной безопасности. На решение данных задач направлен Указ Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Одним из направлений совершенствования деятельности в названной области является совершенствование правовой основы противодействия киберугрозам, обеспечения кибербезопас-ности. Этот вопрос актуален не только для Российской Федерации, но и для всех зарубежных государств [5].
В Российской Федерации Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — ФЗ № 187) регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. В нем закреплены определения таких терминов, как «автоматизированная система управления», «безопасность критической информационной инфраструктуры», «значимый объект критической информационной инфраструктуры», «компьютерная атака», «компьютерный инцидент», «критическая информационная инфраструктура», «объекты критической информационной инфраструктуры», «субъекты критической информационной инфраструктуры». ФЗ № 187 понятие «кибербезопасность» не использует, хотя его содержание говорит о том, что он регламентирует отношения именно в области обеспечения кибербезопасности.
ФЗ № 187 закрепляет принципы обеспечения безопасности критической информационной
инфраструктуры (ст. 4); государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ст. 5); полномочия Президента РФ и органов государственной власти РФ в области обеспечения безопасности критической информационной инфраструктуры (ст. 6); кате-горирование объектов критической информационной инфраструктуры (ст. 7); реестр значимых объектов критической информационной инфраструктуры (ст. 8); права и обязанности субъектов критической информационной инфраструктуры (с. 9); систему безопасности значимого объекта критической информационной инфраструктуры (ст. 10); требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (ст. 11); оценку безопасности критической информационной инфраструктуры (ст. 12); государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры (ст. 13); ответственность за нарушение требований ФЗ № 187 и принятых в соответствии с ним иных нормативных правовых актов (ст. 14).
В российском законодательстве нет понятия «уполномоченный государственный орган в сфере кибербезопасности», хотя в перспективе это понятие может войти в практику юриспруденции и государственного управления. Анализ российского законодательства показывает, что функциями в области обеспечения информационной безопасности наделен целый ряд как федеральных органов исполнительной власти (например, Минобороны России, МВД России, ФСО России, СВР России, Роскомнадзор и т.д.), так и иных государственных органов (Центробанк России, Совет Безопасности РФ и др.). Вопрос о понятии и компетенции органа обеспечения информационной безопасности продолжает оставаться открытым. Однако полномочиями в области ки-бербезопасности наделен более узкий круг органов, прежде всего — ФСБ России и ФСТЭК России. Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» возложил на ФСБ России полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. Указ Президента РФ от 8 февраля 2012 г. № 146 «О федеральных органах исполнительной власти, уполномоченных в области обеспечения безопасности информации
в информационных системах, созданных с использованием суперкомпьютерных и грид-техно-логий» установил, что федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности информации в информационных системах, созданных с использованием суперкомпьютерных и грид-техноло-гий, являются ФСБ России и ФСТЭК России. Поэтому применительно к этим органам вполне применимо использование термина «уполномоченный государственный орган в сфере кибербе-зопасности». Хотя этот вопрос является спорным, обсуждаемым и ждущим своего окончательного решения.
В этой связи для систематизации полномочий уполномоченного государственного органа в сфере кибербезопасности необходимо учитывать положительный зарубежный опыт, в частности, соответствующие положения Закона Республики Узбекистан от 15 апреля 2022 г. № ЗРУ-764 «О кибербезопасности» (далее — ЗРУз) (ст. 11 — 13). В ст. 1 данного ЗРУз кибербезопасность определена как «состояние защищенности интересов личности, общества и государства от внешних и внутренних угроз в киберпространстве»; «ки-берпространство» — виртуальная среда, созданная с помощью информационных технологий; «киберугроза» — комплекс условий и факторов в киберпространстве, представляющих угрозу интересам личности, общества и государства.
Следует сказать, что вопросы обеспечения кибербезопасности в государствах СНГ рассматриваются в различных аспектах, одним из основных среди которых является рассмотрение кибербезопасности в контексте обеспечения информационной безопасности. Это оказывает непосредственное влияние на правовую основу обеспечения кибербезопасности. Определенные трудности в данной области связаны с тем, что до настоящего времени не выработано общепринятого научного определения кибербезопасности, что затрудняет его нормативное закрепление.
Уполномоченным государственным органом в сфере кибербезопасности является Служба государственной безопасности Республики Узбекистан. ЗРУз устанавливает, что к полномочиям уполномоченного государственного органа в сфере кибербезопасности относятся:
■ разработка нормативных правовых актов и государственных программ в сфере ки-бербезопасности;
■ осуществление контроля за исполнением актов законодательства о кибербезопас-ности;
■ проведение оперативно-розыскных мероприятий, доследственных проверок и следственных действий по инцидентам кибер-безопасности;
■ предупреждение, выявление и предотвращение инцидентов кибербезопасности и принятие по ним соответствующих мер, в том числе организационно-технических мер по устранению их последствий;
■ киберзащита информационных систем и ресурсов при чрезвычайных ситуациях и разработка планов, содержащих меры по другим вопросам в сфере кибербезопасности;
■ организация работ по обеспечению кибер-безопасности, а также работ по предупреждению, выявлению и устранению последствий кибератак на объектах критической информационной инфраструктуры;
■ организация работ по сертификации аппаратных, аппаратно-программных и программных средств в информационных системах и ресурсах в соответствии с требованиями кибербезопасности;
■ организация проведения исследований и мониторинга в сфере кибербезопасности;
■ формирование единого реестра объектов критической информационной инфраструктуры, а также организация и обеспечение его ведения;
■ принятие решения о включении объектов в единый реестр объектов критической информационной инфраструктуры на основе сведений, представленных субъектами ки-бербезопасности;
■ определение требований по обеспечению кибербезопасности объектов критической информационной инфраструктуры;
■ определение порядка проведения аттестации объектов информатизации и объектов критической информационной инфраструктуры в соответствии с требованиями кибербезопасности;
■ лицензирование деятельности по разработке, производству и реализации средств криптографической защиты информации;
■ принятие мер по защите прав и законных интересов пользователей информационных систем и ресурсов;
■ проведение изучений и проверок информационных систем и ресурсов субъектов ки-бербезопасности, а также на объектах критической информационной инфраструктуры;
■ разработка планов по предотвращению попыток кибератак на объекты критической информационной инфраструктуры и их непосредственная реализация;
■ регулирование деятельности подразделений кибербезопасности, служб и групп независимых экспертов, взаимодействие с правоохранительными органами в сфере противодействия киберугрозам;
■ информирование органов государственного и хозяйственного управления, органов государственной власти на местах о выявленных в информационных системах и ресурсах уязвимостях, киберугрозах, киберата-ках и других подрывных действиях;
■ привлечение правоохранительных органов и субъектов критической информационной инфраструктуры к совместному расследованию инцидентов кибербезопасности на объектах критической информационной инфраструктуры;
■ осуществление международного сотрудничества в сфере кибербезопасности и разработка общих подходов по противодействию киберугрозам, объединение усилий в проведении следственных действий и предотвращении киберпреступности, а также принятие мер по недопущению использования киберпространства Республики Узбекистан в террористической, экстремистской и иной незаконной деятельности;
■ организация работ по внедрению средств выявления, предотвращения и устранения последствий кибератак, а также принятие мер относительно инцидентов кибербезо-пасности на объектах критической информационной инфраструктуры;
■ организация работ по выявлению, сбору и анализу данных об имеющихся уязвимос-тях и возможных угрозах на объектах критической информационной инфраструктуры;
■ создание классификатора по уровню обеспеченности кибербезопасности в информационных системах и ресурсах;
■ классификация объектов кибербезопасно-сти по уровню обеспеченности кибербезо-пасности;
■ осуществление деятельности по подготовке кадров в сфере кибербезопасности;
■ определение механизмов проведения экспертизы на соответствие требованиям ки-бербезопасности;
■ определение методов оценки и оценка осуществления кибербезопасности объектов кибербезопасности и критической информационной инфраструктуры;
■ определение критериев категорирования и категорирование объектов критической информационной инфраструктуры;
■ проведение аттестации сотрудников, задействованных в обеспечении кибербезопасно-сти субъектов кибербезопасности, в порядке, установленном законодательством.
Выполнение законных требований (указаний) уполномоченного государственного органа является обязательным.
Уполномоченный государственный орган при осуществлении полномочий в сфере кибербезо-пасности имеет право:
■ получать в аренду технические, программные и аппаратно-программные средства, предназначенные для выявления кибера-так, предотвращения и устранения их последствий, а также принятия мер относительно инцидентов кибербезопасности;
■ безвозмездно пользоваться техническими установками и услугами для принятия безотлагательных мер по устранению кибе-ратак;
■ посещать государственные органы и иные организации, знакомиться с необходимыми документами и материалами, а также запрашивать и получать от государственных органов и иных организаций, граждан сведения и другие необходимые документы и материалы, проводить их идентификацию и использовать в следственных действиях по инцидентам кибербезопасности;
■ создавать рабочий орган по обеспечению кибербезопасности, а также передавать ему часть своих полномочий;
■ вносить субъектам кибербезопасности обязательные для исполнения предписания и указания об устранении причин и условий, способствовавших совершению правонарушений, представляющих угрозу кибербе-зопасности;
■ в целях осуществления функции государственного контроля и проверки обеспечения состояния кибербезопасности на беспрепятственный доступ и подключение в установленном порядке к информационным системам и ресурсам государственных органов и организаций, объектов критической информационной инфраструктуры, а также изучение данных в части внедрения и эксплуатации средств обеспечения кибербезопасности информационных систем и ресурсов этих объектов;
■ на доступ к системам мониторинга или объектам критической информационной инфраструктуры для осуществления организационно-технических мероприятий при проведении мониторинговых работ по обеспечению кибербезопасности;
■ входить беспрепятственно, при необходимости с повреждением запирающих устройств и других предметов, в жилые помещения и иные объекты физических и юридических лиц, осматривать их при преследовании лиц, подозреваемых в совершении преступлений в сфере информационных технологий, либо при наличии достаточных оснований полагать, что там совершается или совершено такое преступление, или находится лицо, скрывшееся от правоохранительных органов, либо если промедление может поставить под угрозу жизнь и здоровье граждан, с последующим сообщением об этом прокурору в течение 24 часов, а также с возмещением причиненного вреда в порядке, установленном законодательством.
Уполномоченный государственный орган при осуществлении возложенных полномочий в сфере кибербезопасности обязан:
■ принимать все необходимые меры по предупреждению, выявлению и предотвращению киберпреступлений;
■ участвовать в подготовке и реализации государственных программ в сфере кибер-безопасности;
■ осуществлять научно-исследовательскую и организационно-методичесую деятельность по проблемам в сфере кибербезопасности;
■ регистрировать обращения и сведения о киберпреступлениях и правонарушениях, представляющих угрозу кибербезопасности, своевременно принимать по ним меры в порядке, установленном законодательством;
■ принимать меры по предупреждению правонарушений, представляющих угрозу ки-бербезопасности, выявлению и устранению причин и условий, способствовавших их совершению;
■ уведомлять в письменной форме прокурора в течение 24 часов обо всех случаях проникновения сотрудниками уполномоченного государственного органа в жилые помещения и иные объекты физических и юридических лиц вопреки воле собственников и их представителей или в их отсутствие.
На уполномоченный государственный орган могут быть возложены и другие обязанности в соответствии с законодательством.
Все это показывает, что вопросы кибербезо-пасности находят все большее место в практике защиты информации, обеспечения информационной безопасности, что требует адекватного правового регулирования, прежде всего — ад-
министративно-правового [6]. Нельзя исключать появления в российской юридической практике понятия «уполномоченный государственный орган в сфере кибербезопасности», что может стать возможным только после нормативного закрепления в законодательстве понятия «кибербе-зопасность» и производных от него понятий. Все это требует продолжения научных разработок в данной области [2], в том числе сравнительно-правового характера, что позволит повысить эффективность российского законодательства, включая документы стратегического планирования [7], в области защиты информации и обеспечения национальной безопасности страны в целом.
Список источников
1. Административно-правовое регулирование в сфере экономики (современные формы и методы) / Е.В. Виноградова, И.В. Глазунова, А. А. Гриш-ковец, М.Н. Кобзарь-Фролова, В.М. Редкоус [и др.]. Воронеж: Научная книга, 2021. 256 с.
2. Бачиловские чтения: материалы четвертой междунар. науч.-практ. конф. (Москва, 5— 6 февраля 2022 г.) / отв. ред. Т.А. Полякова, А.В. Минбалеев, В.Б. Наумов / Институт государства и права РАН. Саратов: ООО «Амирит», 2022. 568 с.
3. Виноградова Е.В., Кобзарь-Фролова М.Н. Академической науке административного права и административного процесса 85 лет // Труды Института государства и права Российской академии наук. 2021. Т. 16. № 6. С. 198—210.
4. Выступление В.В Путина на заседании Совета Безопасности 20 мая 2022 г. // URL: http://www.kremlin.ru / events / president/news / 68451 (дата обращения: 21.05.2022).
5. Редкоус В.М. Административно-правовые аспекты законодательного обеспечения кибербе-зопасности в государствах — участниках СНГ // Бачиловские чтения: материалы четвертой меж-дун. науч.-практ. конф. (Москва, 5—6 февраля 2022 г.) / отв. ред. Т.А. Полякова, А.В. Минба-леев, В.Б. Наумов / ИГП РАН. Саратов, 2022. С. 303—311.
6. Редкоус В.М. Административно-правовое обеспечение национальной безопасности в государствах — участниках Содружества Независимых Государств: автореф. дис. ... д-ра юрид. наук. М., 2011. 47 с.
7. Редкоус В.М. Некоторые вопросы совершенствования стратегии национальной безопасности Российской Федерации // Право и государство: теория и практика. 2009. № 8 (56). С. 83—88.
References
1. Administrative and legal regulation in the sphere of economy (modern forms and methods) / E.V. Vinogradova, I.V. Glazunova, A.A. Grishko-vets, M.N. Kobzar-Frolova, V.M. Redkous [i dr.]. Voronezh: Scientific book, 2021. 256 p.
2. Bachilov readings: Proceedings of the fourth international scientific and practical conference (Moscow, February 5-6, 2022) / ed. ed. T.A. Po-lyakova, A.V. Minbaleev, V.B. Naumov / Institute of State and Law of the Russian Academy of Sciences. Saratov: Amirit LLC, 2022. 568 p.
3. Speech by Vladimir Putin at a meeting of the Security Council on May 20, 2022 // URL: http: / / www.kremlin.ru / events / president / news / 68451 (date of access: 05/21/2022).
4. Vinogradova E.V., Kobzar-Frolova M.N. Academic science of administrative law and admi-
nistrative process is 85 years old // Proceedings of the Institute of State and Law of the Russian Academy of Sciences. 2021. V. 16. No. 6. P. 198—210.
5. Redkous V.M. Administrative and Legal Aspects of Legislative Support of Cybersecurity in the CIS Member States // Bachilov Readings: Proceedings of the Fourth Intern. scientific-pract. conf. (Moscow, February 5-6, 2022) / ed. ed. T.A. Polyakova, A.V. Minbaleev, V.B. Naumov / IGP RAS. Saratov, 2022, pp. 303—311.
6. Redkous V.M. Administrative and legal support of national security in the member states of the Commonwealth of Independent States: author. dis. ... Dr. jurid. Sciences. M., 2011. 47 p.
7. Redkous V.M. Some Issues of Improving the National Security Strategy of the Russian Federation // Law and State: Theory and Practice. 2009. No. 8 (56). pp. 83—88.
ИЗДАТЕЛЬСТВО «ЮНИТИ-ДАНА» ПРЕДСТАВЛЯЕТ
Цветков В.Л. и др. Психология служебной деятельности.
Учебник для студентов вузов, обучающихся по специальности «Психология служебной деятельности». — 2-е изд., перераб. и доп. — М.: ЮНИТИ-ДАНА: Закон и право, — 351 с.
ISBN 978-5-238-03162-0
Учебник разработан в соответствии с требованиями Федерального государственного образовательного стандарта высшего профессионального образования третьего поколения по специальности 3705.02 «Психология служебной деятельности». Рассмотрены основы психологической работы в органах внутренних дел. Основное внимание уделяется таким вопросам, как психологическая подготовка сотрудников ОВД, технологии психологической помощи и психологической реабилитации сотрудников ОВД, организация психологической работы в ОВД. Для курсантов, студентов вузов, психологов, а также всех интересующихся проблемами практической психологии.
Информация об авторе В.М. Редкоус — доктор юридических наук, профессор.
Information about the author V^. Redkous — D.Sc. in law, Professor.
Статья поступила в редакцию 16.05.2022; одобрена после рецензирования 31.05.2022; принята к публикации 10.06.2022.
The article was submitted 16.05.2022; approved after reviewing 31.05.2022; accepted for publication 10.06.2022.