прапор_України

Генеральний партнер 2022 року

Видавництво ЮРИДИЧНА ПРАКТИКА
Головна » Выпуск №43 (1035) » Декламация безопасности

Декламация безопасности

Законом вводится понятие объектов критической инфраструктуры, которое охватывает предприятия и организации вне зависимости от формы собственности

Парламент ждал два года, пока вопрос кибербезопасности станет достаточно актуальным, чтобы принять законопроект № 2126а «Об основных принципах обеспечения кибербезопасности Украины» (Закон № 2126а). Хорошо, что за это время наша страна столкнулась с достаточно серьезными кибератаками на отдельные предприятия и государственные порталы, а также познакомилась с вирусом Petya.A с известными всем последствиями (в этом предложении есть сарказм, если что).

Впрочем, надо отдать должное народным избранникам: в 2016 году проект провалили умышленно, так как в него внесли поправки, которые могли серьезно спутать карты внутри такого механизма, как ProZorro. Кстати, закон об электронных доверительных услугах тоже хотели использовать в данных целях — вот уж кому действительно небезразличны телеком- и кибербезопасность, так это борцам с ProZorro.

В целом на фоне других законодательных инициатив в данной сфере (закон о доступе к инфраструктуре, проекты-близнецы о блокировках сайтов, тот же закон об электронных доверительных услугах) законопроект № 2126а был вовсе не на первом плане (к концу статьи будет понятнее почему).

Чего же обыватель может ждать от законопроекта с таким звучным названием, особенно на фоне блокировок российских сайтов и волны ненависти к M.E.doc? Давайте разберемся.

 

Больше блокировок или цензура?

Когда законопроект только появился, активисты сразу заговорили о том, что под соусом безопасности в Сети нам предлагают цензуру (и так происходит почти с каждым нормативным актом в данной сфере). Это не совсем так. Закон вместо цензуры предлагает нам, к примеру, обязанность органов властных полномочий действовать в соответствии с принципами «объективности и правовой определенности, максимально возможного применения национального и международного права в отношении полномочий государственных органов, предприятий, учреждений, организаций, граждан в сфере кибербезопасности» (пункт 2 части 2 статьи 2 Закона № 2126а). Как видите, законодатель решает чрезвычайно важную задачу, касающуюся отсутствия прописанных принципов работы госорганов. Интересно, чем же они (органы) руководствовались до этого?

Если же говорить более серьезно, то Закон № 2126а в части 1 той же статьи 2 прямо говорит о том, что его действие не распространяется на социальные сети и другие интернет-ресурсы (в том числе на блоги, видеохостинги), равно как и на услуги по поддержанию их работы. Также действие Закона № 2126а не распространяется на отношения и услуги, связанные с содержимым информации, обрабатываемой и передаваемой в коммуникационных сетях, и на «коммуникационные системы, которые не взаимодействуют с публичными системами электронных коммуникаций, не подключены к сети Интернет или к другим сетям передачи данных» (пункт 3 части 1 статьи 2 Закона № 2126а).

Если перевести этот текст на человеческий язык, то получается, что цензуры не будет (по крайней мере на основании этого Закона и под предлогом кибербезопасности). Причем забавно, что социальные сети вывели в отдельный пункт — видимо, хотели задобрить социально активных политиков и блогеров. Закон дает четкий посыл хостинг-провайдерам, собственникам контент-платформ, рекламному бизнесу о том, что этим Законом какие-то особые требования к контенту, способам его размещения, условиям договоров между заказчиком и провайдером услуг не вводятся.

Что же касается упомянутого выше пункта 3 части 1 статьи 2 Закона № 2126а, то эта норма вызывает вопросы. Возможно, так законодатель хотел сказать, что корпоративные сети и другие «интранеты» не будут регулироваться этим Законом, что в принципе логично. Вот только мой гуманитарный ум подсказывает, что корпоративные сети все же могут быть интегрированы с внешними сетями вроде Интернет. Если один и тот же набор техники работает и в локальной сети, и в сети Интернет, действует закон или нет?

В итоге Закон № 2126а — не о блокировках и не о цензуре. Хотя по поводу цензуры еще можно спорить, ведь данный акт вносит изменения в Закон Украины «Об информации». Отныне у нас будет еще один вид информации — технологическая информация, которая может иметь ограниченный доступ. Парламентский комитет по вопросам свободы слова заметил, что определение довольно широкое, а значит, под него можно будет «подтянуть» публичную информацию и таким образом ее «закрыть». Пожалуй, это действительно возможно, хотя я бы не исключал и более адекватных вариантов использования этого инструмента.

 

За счет провайдеров?

Обычно законы в сфере кибербезопасности и телекоммуникаций предусматривают внедрение технических средств какого-либо контроля/учета/фиксации. И обычно затраты на такое внедрение предлагается возложить на плечи бизнеса. Так вот, спешу обрадовать бизнес: подобных требований в Законе № 2126а нет. Хотя в остальном есть о чем задуматься. Законом вводится понятие объектов критической инфраструктуры, которое охватывает предприятия и организации вне зависимости от формы собственности. Для таких объектов как раз и предусмотрен особый режим кибербезопасности, требования к которому будут разработаны Кабинетом Министров. Так что предприятия химической промышленности, энергетического комплекса, транспортной, сельскохозяйственной отраслей и даже предприятия сферы здравоохранения, а также банки должны быть готовы к тому, что однажды они получат почетное звание критически важного для государства предприятия или учреждения. Критерии для такого «награждения» разработают Кабинет Министров и Национальный банк Украины (для банков).

Безусловно, вместе с признанием появятся новые обязанности — объекты критической инфраструктуры должны будут проходить независимый аудит информационной безопасности (ежегодно), в то время как собственники и руководители предприятий будут обязаны информировать CERT-UA (это подразделение внутри Госспецсвязи) об инцидентах кибербезопасности. В общем, теперь собственники крупнейших украинских финансово-промышленных групп наверняка озадачены — круг их обязательств перед государством может расшириться за счет мер кибербезопасности, ведь их предприятия с большой вероятностью попадут под понятие критической инфраструктуры.

Что касается аудита, то следует сказать, что обеспечить его проведение поручено, согласно Закону № 2126а, Госспецсвязи, для чего этот орган наделяется полномочиями формировать требования к аудиторам и определять порядок их аттестации. За данным процессом действительно стоит понаблюдать — новая разрешительная (аттестационная) процедура в нашей стране всегда подвержена коррупционным рискам, а вероятное ограниченное предложение таких услуг аудита может повлечь за собой даже вопросы в части конкурентного законодательства.

Получается, что Законом № 2126а в карман бизнесу сходу не лезут. Тем не менее стоит следить за его реализацией на практике — думаю, нас ждут интересные кейсы как в части формирования списков ключевой инфраструктуры, так и в части аудита таких структур.

 

Расширенные полномочия органов власти?

Да. И речь не только об упомянутых выше полномочиях КМУ, НБУ, Госспецсвязи, но и о полномочиях парламента. Как ни странно, но контроль за соблюдением законодательства в сфере кибербезопасности будет осуществлять Верховный Совет (в лице комитета по телекоммуникациям, по всей видимости). Кстати, статья, в которой это предусмотрено, называется «Контроль за законностью», так что специалисты в сфере конституционного права над этим моментом призадумались. Но, во-первых, кого останавливало легкое расхождение между теорией Монтескье и украинской практикой? Во-вторых, наверное, лучше это, чем то, что предлагали более ранние редакции этого документа, наделяя полномочиями надзора в сфере кибербезопасности прокуратуру.

 

Новые виды правонарушений?

Вообще нет. Закон № 2126а, конечно, вводит массу новой и несколько спорной терминологии (то же киберпространство не имеет какой-то территориальной привязки, так что регулируем все и всюду), но в части правонарушений пока ничего нового не предвидится, закон вежливо кивает в сторону Уголовного кодекса.

 

Вместо итога

Закон № 2126а действительно подчистили перед окончательным голосованием — спустя два года он стал лучше первичных вариантов. Хотя от основного «бага», на мой взгляд, он так и не избавился — Главное экспертное управление парламента не зря критиковало его как содержащего слишком большое количество декларативных норм (и очевидных тоже). И это особенно удручает, когда сравниваешь Закон № 2126а с нормативными актами, например, США, где законы, касающиеся кибербезопасности, — прикладные по своей сути. Оценивать же качество Закона в целом не совсем правильно, так как самое интересное будет спрятано в других документах. Для меня он все еще больше «договор о намерениях» в вопросах кибербезопасности, и это, наверное, неплохо.

 

БЕРЕГОВОЙ Денис — партнер, соучредитель Axon Partners, г. Киев


Комментарии

Системообразующий акт

Владислав ЧУПРИНА, юрист LEMAN International Law Group

Принятый парламентом Закон «Об основах обеспечения кибербезопасности Украины» оставляет больше вопросов, чем ответов о формировании эффективной государственной политики в этой сфере и, самое главное, о механизмах реализации такой политики. По сути Закон имеет декларативный характер и содержит в себе бланкетные нормы, выступая скорее системообразующим актом, разделяющим функции по киберзащите между разными органами и определяющим основные принципы и термины в этой сфере.

Но после его вступления в силу предстоит еще огромная работа по принятию целого массива подзаконных нормативных актов. Нечто подобное мы уже наблюдали при исполнении решения СНБО «Об угрозах кибербезопасности государства и неотложных мерах по их нейтрализации», веденного в действие Президентом весной этого года, в котором также давались поручения различным ведомствам. К сожалению, исполнение этого решения (к слову, принятого еще в конце 2016 года) все еще продолжается без видимых результатов. Так или иначе, но Закон принят, и теперь чиновники, на которых возложена ответственность, должны эффективно и быстро реализовать поставленные перед ними задачи и создать слаженный и действенный механизм киберзащиты, о котором лишь упоминается в Законе.

 

Расходы для бизнеса

Иван БОЖКО, адвокат ЮФ «Ильяшев и Партнеры»

Сегодня требования к аудиту информационной безопасности объектов критической инфраструктуры не установлены — их разработкой еще только предстоит заняться Кабинету Министров Украины. Вместе с тем новые требования могут обернуться для бизнеса значительными финансовыми расходами, связанными с покупкой нового оборудования и даже с увеличением количества наемных работников или оформлением аутсорсинговых отношений со специализированными фирмами.

Помимо этого в случае отсутствия надлежащего контроля со стороны государства новый механизм инспектирования может стать новым инструментом давления на бизнес. Подобное имело место совсем недавно, когда в 2016 году по Украине прокатилась целая волна проверок IT-компаний, поставившая под угрозу развитие целой индустрии. С другой стороны, усиление мер киберзащиты будет способствовать своевременному информированию публичного и частного сектора и более эффективному отражению потенциальных угроз. Уже сегодня мы видим, что своевременное предупреждение и применение ряда превентивных мер помогает уменьшить негативные последствия противоправных действий отдельных субъектов или вовсе их избежать.

 

Поділитися

Підписуйтесь на «Юридичну практику» в Facebook, Telegram, Linkedin та YouTube.

tg-10
4_TaxForce600_90
covid
На-сайт_балы_600х90
На-сайт1_600x90
top50_2020_600x90
ULF_0002
Vacancies_600x90_ua
doroszab2
Slide

Зміст

Акцент

Семеро одно ждут

Государство и юристы

Электронному суду быть?

Контролируемое банкротство

Учебное подобие

Государство и юристы

Новости законотворчества

Подан альтернативный законопроект о юробразовании

Государство и юристы

IDеальные условия

Государство и юристы

Новости законотворчества

Предлагается изменить закон о соцзащите лиц с инвалидностью

Государство и юристы

Остров Крипт

Государство и юристы

Новости законотворчества

Прописаны новые гарантии для задержанных

Государство и юристы

Господа — в присяжные!

Новости из зала суда

Судебная практика

На требования ликвидатора распространяется юрисдикция админсудов 

Черкасский отель «Апельсин» проиграл спор с отделением АМКУ

Новости юридических фирм

Частная практика

АК «Коннов и Созановский» предоставила правовую поддержку «Катерпиллар Файнэншл Украина»

Asters — финалист премии «Лучшая европейская юридическая фирма года» от The British Legal Awards 2017

Interlegal провела тренинг для украинских трейдеров

Отрасли практики

Исключительное дело

Попасть в план

Земельная расплата

Декламация безопасности

Рабочий график

Карта событий

Репортаж

Сборная в Австралии

Фирмы защиты

Бить примером

Самое важное

Спорится дело

Допремьерный показ

Регламентируя данные

Судебная практика

Одни оговорки

Клиент превыше всего

Отпускная цена

Тема номера

Судопроизводственная необходимость

Обработать рано

Вызвать позицию

Собор доказательств

Ипотеки час

Частная практика

Перерыв на обет

Предельный прок

Финансовый ход

Інші новини

PRAVO.UA