Закон о кибербезопасности
Закон о кибербезопасности — это нормативный правовой акт или совокупность актов, регулирующих отношения в сфере обеспечения защиты информации, информационных систем, информационно-телекоммуникационных сетей и цифровой инфраструктуры от несанкционированного доступа, разрушения, модификации, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. В широком смысле термином обозначают комплекс законодательных мер, направленных на противодействие киберпреступности, защиту критической информационной инфраструктуры (КИИ), персональных данных и национальных интересов государства в цифровом пространстве. Единого универсального закона о кибербезопасности в мире не существует; правовое регулирование в этой области, как правило, осуществляется через несколько взаимосвязанных законов, подзаконных актов и отраслевых стандартов.
История развития законодательства о кибербезопасности
Ранний этап (1990-е — начало 2000-х)
Первые попытки правового регулирования киберпространства были связаны с борьбой с компьютерными преступлениями. В 1980-х — 1990-х годах ряд стран приняли законы, криминализирующие несанкционированный доступ к компьютерным системам (например, Computer Fraud and Abuse Act в США, 1986 год). В России в 1996 году была введена глава 28 «Преступления в сфере компьютерной информации» в Уголовный кодекс РФ, а в 2006 году принят Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ставший базовым для всей отрасли.
Этап формирования национальных стратегий (2000-е — 2010-е)
С ростом числа кибератак и осознанием уязвимости критической инфраструктуры государства начали разрабатывать комплексные стратегии кибербезопасности. В 2009 году в США была опубликована «Стратегия кибербезопасности» (Cyberspace Policy Review), а в 2013 году — Директива NIST по кибербезопасности. В Европейском союзе в 2016 году была принята Директива NIS (Network and Information Security Directive), устанавливающая требования к обеспечению безопасности сетей и информационных систем. В России в 2017 году вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который обязал операторов КИИ соблюдать строгие требования по защите объектов.
Современный этап (2020-е годы)
В последние годы законодательство о кибербезопасности активно развивается в сторону усиления ответственности, расширения полномочий государственных органов и введения обязательных требований к компаниям. Вводятся механизмы «кибербезопасности по умолчанию», требования к уведомлению об инцидентах, а также санкции за утечки данных. В России в 2021 году были приняты поправки к КоАП РФ, существенно увеличившие штрафы за нарушения в области персональных данных, а в 2023 году вступил в силу закон об оборотных штрафах за утечки персональных данных.
Классификация законов о кибербезопасности
Законы о кибербезопасности можно классифицировать по нескольким критериям:
По сфере регулирования
- Законы о защите критической информационной инфраструктуры (КИИ) — устанавливают требования к объектам, отказ или нарушение функционирования которых может привести к тяжёлым последствиям (энергетика, транспорт, связь, финансы, здравоохранение). Пример: Федеральный закон № 187-ФЗ (РФ).
- Законы о персональных данных — регулируют сбор, обработку, хранение и передачу персональных данных граждан. Пример: Федеральный закон № 152-ФЗ «О персональных данных» (РФ), GDPR (ЕС).
- Законы о борьбе с киберпреступностью — устанавливают уголовную и административную ответственность за неправомерный доступ, создание и распространение вредоносных программ, мошенничество в сети. Пример: Глава 28 УК РФ, Конвенция Совета Европы о киберпреступности (Будапештская конвенция).
- Законы о государственном контроле и мониторинге — наделяют органы власти полномочиями по контролю за соблюдением требований, проведению проверок, блокировке сайтов и ограничению доступа к информации. Пример: Федеральный закон № 398-ФЗ «О внесении изменений...» (о блокировке сайтов).
По масштабу действия
- Национальные законы — действуют на территории одного государства (например, Закон КНР о кибербезопасности 2017 года).
- Наднациональные (региональные) акты — обязательны для стран-участниц интеграционного объединения (например, Регламент GDPR для стран ЕС, Директива NIS 2).
- Международные договоры и конвенции — устанавливают общие принципы сотрудничества (например, Будапештская конвенция 2001 года).
Основные элементы законодательства о кибербезопасности
Требования к операторам и владельцам информационных систем
Законы обычно устанавливают обязанности для юридических и физических лиц, эксплуатирующих информационные системы. К таким обязанностям относятся:
- Назначение ответственного за обеспечение кибербезопасности.
- Создание системы защиты информации (СЗИ), включающей организационные и технические меры.
- Проведение категорирования объектов КИИ (для объектов КИИ).
- Уведомление уполномоченного органа (например, ФСТЭК России, Роскомнадзор) об инцидентах, повлёкших нарушение безопасности.
- Хранение данных на серверах, расположенных на территории государства (требование локализации данных).
Меры ответственности
Законодательство предусматривает различные виды ответственности за нарушения:
- Уголовная ответственность — за наиболее тяжкие преступления (например, создание вредоносных программ, неправомерный доступ к охраняемой законом компьютерной информации, нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации). Санкции могут включать лишение свободы.
- Административная ответственность — за невыполнение требований по защите информации, нарушение порядка обработки персональных данных, неисполнение предписаний контролирующих органов. Наказание — штрафы (в том числе оборотные) и приостановление деятельности.
- Гражданско-правовая ответственность — возмещение убытков, причинённых утечкой данных или кибератакой.
Государственные органы, регулирующие кибербезопасность
В разных странах функции регулирования и контроля распределены между различными ведомствами. В России основными органами являются:
- ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — устанавливает требования к защите информации, проводит лицензирование и аттестацию.
- ФСБ России — координирует деятельность по обеспечению безопасности КИИ, участвует в реагировании на инциденты.
- Роскомнадзор — контролирует соблюдение законодательства о персональных данных, ведёт реестры нарушителей, блокирует сайты.
- Минцифры России — разрабатывает государственную политику в области информационных технологий и связи.
Примеры национальных законов
Российская Федерация
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (2006 г.) — базовый закон, определяющий правовой режим информации, порядок создания и эксплуатации информационных систем, а также общие принципы защиты информации.
- Федеральный закон № 152-ФЗ «О персональных данных» (2006 г.) — устанавливает правила обработки персональных данных, принципы их конфиденциальности, права субъектов персональных данных и обязанности операторов.
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017 г.) — определяет перечень объектов КИИ, требования к их защите, порядок реагирования на компьютерные инциденты.
- Федеральный закон № 242-ФЗ (2015 г.) — ввёл требование о локализации персональных данных граждан РФ на территории России.
- Федеральный закон № 398-ФЗ (2018 г.) — расширил полномочия Роскомнадзора по блокировке сайтов, распространяющих запрещённую информацию.
Соединённые Штаты Америки
- Computer Fraud and Abuse Act (CFAA, 1986 г.) — основной федеральный закон, криминализирующий несанкционированный доступ к компьютерам.
- Cybersecurity Information Sharing Act (CISA, 2015 г.) — поощряет обмен информацией о киберугрозах между частным сектором и правительством.
- Executive Order on Improving the Nation’s Cybersecurity (2021 г.) — предписывает федеральным агентствам внедрять современные стандарты безопасности (в том числе zero trust).
Европейский Союз
- General Data Protection Regulation (GDPR, 2018 г.) — регламент, устанавливающий строгие требования к обработке персональных данных граждан ЕС, включая обязательное уведомление об утечках и крупные штрафы.
- NIS 2 Directive (2023 г.) — обновлённая директива по безопасности сетевых и информационных систем, расширяющая сферу действия и ужесточающая требования к отчётности и санкциям.
Критика и проблемы законодательства
Чрезмерное регулирование и ограничение свобод
Критики отмечают, что некоторые положения законов о кибербезопасности могут использоваться для усиления государственного контроля над интернетом и ограничения свободы слова. Например, законы о блокировке сайтов или обязательной идентификации пользователей (закон о суверенном интернете в РФ) вызывают опасения у правозащитников.
Сложность исполнения и высокая стоимость
Для бизнеса, особенно малого и среднего, выполнение всех требований (категорирование, аттестация, внедрение СЗИ) может быть финансово обременительным. Требования локализации данных также увеличивают издержки компаний.
Недостаточная эффективность против современных угроз
Законодательство часто отстаёт от развития технологий. Быстрое появление новых типов атак (например, с использованием искусственного интеллекта) делает некоторые нормы устаревшими. Кроме того, трансграничный характер киберпреступности затрудняет правоприменение.
Разрозненность и противоречия
В ряде стран законы о кибербезопасности принимались разрозненно, что приводит к дублированию требований и коллизиям между различными нормативными актами. Отсутствие единой терминологии также создаёт трудности.
Перспективы развития
Основные тенденции развития законодательства о кибербезопасности включают:
- Ужесточение ответственности за утечки данных (введение оборотных штрафов, уголовной ответственности для должностных лиц).
- Введение обязательных требований к кибербезопасности для всех участников цифрового рынка (не только для объектов КИИ).
- Развитие механизмов «кибербезопасности по умолчанию» и «кибербезопасности на этапе проектирования» (security by design).
- Усиление международного сотрудничества в области обмена информацией об угрозах и совместного реагирования на инциденты.
- Регулирование новых технологий (искусственный интеллект, интернет вещей, квантовые вычисления) с точки зрения безопасности.
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Уголовный кодекс Российской Федерации (Глава 28).
- Кодекс Российской Федерации об административных правонарушениях (статьи 13.11, 13.12, 13.13).
- Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation).
- Directive (EU) 2022/2555 of the European Parliament and of the Council (NIS 2 Directive).
- Computer Fraud and Abuse Act (18 U.S.C. § 1030).
- Конвенция Совета Европы о киберпреступности (Будапешт, 23 ноября 2001 года).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →