Открыть сервис

Закон о кибербезопасности

Закон о кибербезопасности — это нормативный правовой акт или совокупность актов, регулирующих отношения в сфере обеспечения защиты информации, информационных систем, информационно-телекоммуникационных сетей и цифровой инфраструктуры от несанкционированного доступа, разрушения, модификации, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. В широком смысле термином обозначают комплекс законодательных мер, направленных на противодействие киберпреступности, защиту критической информационной инфраструктуры (КИИ), персональных данных и национальных интересов государства в цифровом пространстве. Единого универсального закона о кибербезопасности в мире не существует; правовое регулирование в этой области, как правило, осуществляется через несколько взаимосвязанных законов, подзаконных актов и отраслевых стандартов.

История развития законодательства о кибербезопасности

Ранний этап (1990-е — начало 2000-х)

Первые попытки правового регулирования киберпространства были связаны с борьбой с компьютерными преступлениями. В 1980-х — 1990-х годах ряд стран приняли законы, криминализирующие несанкционированный доступ к компьютерным системам (например, Computer Fraud and Abuse Act в США, 1986 год). В России в 1996 году была введена глава 28 «Преступления в сфере компьютерной информации» в Уголовный кодекс РФ, а в 2006 году принят Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ставший базовым для всей отрасли.

Этап формирования национальных стратегий (2000-е — 2010-е)

С ростом числа кибератак и осознанием уязвимости критической инфраструктуры государства начали разрабатывать комплексные стратегии кибербезопасности. В 2009 году в США была опубликована «Стратегия кибербезопасности» (Cyberspace Policy Review), а в 2013 году — Директива NIST по кибербезопасности. В Европейском союзе в 2016 году была принята Директива NIS (Network and Information Security Directive), устанавливающая требования к обеспечению безопасности сетей и информационных систем. В России в 2017 году вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который обязал операторов КИИ соблюдать строгие требования по защите объектов.

Современный этап (2020-е годы)

В последние годы законодательство о кибербезопасности активно развивается в сторону усиления ответственности, расширения полномочий государственных органов и введения обязательных требований к компаниям. Вводятся механизмы «кибербезопасности по умолчанию», требования к уведомлению об инцидентах, а также санкции за утечки данных. В России в 2021 году были приняты поправки к КоАП РФ, существенно увеличившие штрафы за нарушения в области персональных данных, а в 2023 году вступил в силу закон об оборотных штрафах за утечки персональных данных.

Классификация законов о кибербезопасности

Законы о кибербезопасности можно классифицировать по нескольким критериям:

По сфере регулирования

По масштабу действия

Основные элементы законодательства о кибербезопасности

Требования к операторам и владельцам информационных систем

Законы обычно устанавливают обязанности для юридических и физических лиц, эксплуатирующих информационные системы. К таким обязанностям относятся:

Меры ответственности

Законодательство предусматривает различные виды ответственности за нарушения:

Государственные органы, регулирующие кибербезопасность

В разных странах функции регулирования и контроля распределены между различными ведомствами. В России основными органами являются:

Примеры национальных законов

Российская Федерация

Соединённые Штаты Америки

Европейский Союз

Критика и проблемы законодательства

Чрезмерное регулирование и ограничение свобод

Критики отмечают, что некоторые положения законов о кибербезопасности могут использоваться для усиления государственного контроля над интернетом и ограничения свободы слова. Например, законы о блокировке сайтов или обязательной идентификации пользователей (закон о суверенном интернете в РФ) вызывают опасения у правозащитников.

Сложность исполнения и высокая стоимость

Для бизнеса, особенно малого и среднего, выполнение всех требований (категорирование, аттестация, внедрение СЗИ) может быть финансово обременительным. Требования локализации данных также увеличивают издержки компаний.

Недостаточная эффективность против современных угроз

Законодательство часто отстаёт от развития технологий. Быстрое появление новых типов атак (например, с использованием искусственного интеллекта) делает некоторые нормы устаревшими. Кроме того, трансграничный характер киберпреступности затрудняет правоприменение.

Разрозненность и противоречия

В ряде стран законы о кибербезопасности принимались разрозненно, что приводит к дублированию требований и коллизиям между различными нормативными актами. Отсутствие единой терминологии также создаёт трудности.

Перспективы развития

Основные тенденции развития законодательства о кибербезопасности включают:

Источники

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Уголовный кодекс Российской Федерации (Глава 28).
  5. Кодекс Российской Федерации об административных правонарушениях (статьи 13.11, 13.12, 13.13).
  6. Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation).
  7. Directive (EU) 2022/2555 of the European Parliament and of the Council (NIS 2 Directive).
  8. Computer Fraud and Abuse Act (18 U.S.C. § 1030).
  9. Конвенция Совета Европы о киберпреступности (Будапешт, 23 ноября 2001 года).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →