Юридические компании

Юридическая фирма "СДМ Партнеры"
Юридическая фирма "СДМ Партнеры"



Авторизация

Логин:
Пароль:
  
Регистрация
Забыли свой пароль?

Консультация
юриста on-line

Вопрос юристу на "Status-Quo"


поиск юриста

Юристы и адвокаты

Гришин Роман Юрьевич
Гришин Роман Юрьевич



Информационная безопасность современного общества

Информационная безопасность современного общества 24.05.2017

Информационная безопасность современного общества

Говорят, информация – это своего рода нефть: ее также сначала недооценивали, однако, роль ее в обществе все росла, что в совокупности с другими факторами (в частности, возрастанием роли информационных и телекоммуникационных технологий) привело к так называемой информационной революции и формирования информационного общества. Теперь информация, ее создание, использование и распространение является основой не только сферы культуры, но и экономики и политики.

Подписанными международными договорами и соглашениями предусмотрено сотрудничество по развитию информационного общества, а он вряд ли возможен без обеспечения информационной безопасности, кибербезопасности и конфиденциальности. Итак, попробуем разобраться, в каком направлении в нашей стране следует двигаться в сфере кибербезопасности, конфиденциальности и облачных технологий, исследовав стандарты регулирования указанных областей в ЕС. 

В этой же связи хочется отметит немаловажную роль в обеспечении безопасности компьютерной техники такие факторы, как своевременное сервисное обслуживание, ремонт и установка лицензионного программного оборудования на персональных ПК и ноутбуках (см. подробнее на сайте http://slava-remont.ru), что в значительной мере позволяет обеспечить безопасность компьютерной техники от заражения вирусами, длительную и устойчивую работоспособность.

Cybersecurity: европейские подходы vs национальные реалии

Что такое кибербезопасность? В смысле «Стратегии ЕС по кибербезопасности: открытое, надежное и безопасное киберпространство» (Cybersecurity Strategy of the European Union: An Open, Safe and Security Cyberspace) она обычно относится к мер и действий, которые направлены на защиту киберпространства как в гражданской, так и военной сфере от угроз, которые могут нанести вред его взаимосвязанным сетям и информационной инфраструктуре, или связанных с ними. Кибербезопасность направлена на сохранение доступности и целостности сетей и инфраструктуры, а также конфиденциальности информации, содержащейся в них.

Урегулированы вопросы кибербезопасности и на уровне национального законодательства государств-участниц ЕС. Так, «Стратегия кибербезопасности Германии» (Cyber-Sicherheitsstrategie für Deutschland) определяет кибербезопасность как желаемое состояние безопасности информационных технологий, за которого риски для киберпространства уменьшены до приемлемого минимума. При этом кибербезопасность рассматривается как в гражданской сфере, так и в военной. «Стратегия безопасности и обороны информационных систем Франции» (Défense et sécurité des systèmes d'information – Stratégie de la France) определяет кибербезопасность как желаемое состояние информационной системы, в которой она может противостоять угрозам из киберпространства, которые могут поставить под угрозу доступность, целостность и конфиденциальность данных, которые хранятся, обрабатываются или передаются в этих системах.

Вместе с тем, информационная безопасность и кибербезопасность не отождествляются. Поэтому в документе «Трансформация киберпространства» (Transforming internet Security), подготовленном ISACA, в зависимости от уровня сложности атак и угроз (определяются на уровне государств или наднациональных объединений) в сфере информационной безопасности отнесены случайные попытки атак и простые атаки вредоносных программ, а к кибербезопасности – кибервойны, целевые кибератаки (АРТ) и фитинг. Также существуют угрозы, которые могут относиться к сфере как информационной безопасности, так и кибербезопасности – комплексные атаки вредоносных программ и эксплойт (0day и комплексный).

А что же по поводу определения кибербезопасности на уровне национального законодательства? Сейчас действует «Стратегия кибербезопасности», утвержденная Указом Президента №96/2016 от 15.03.2016. Ее целью является создание условий для безопасного функционирования киберпространства, его использование в интересах личности, общества и государства. Однако определение кибербезопасности эта стратегия не приводит. Вопросы информационной безопасности, защиты информации в сфере информационных технологий как составляющие национальной безопасности предусмотрены также Законом «Об основах национальной безопасности», однако угрозы национальной безопасности в сфере информационной безопасности не полностью охватывают киберугрозы.

Кроме того, в первом чтении был принят законопроект «Об основных принципах обеспечения кибербезопасности», который под кибербезопасностью предлагает понимать защищенность жизненно важных интересов человека и гражданина, общества и государства в киберпространстве, при которой обеспечиваются устойчивое развитие информационного общества и цифровой коммуникационной среды, своевременное выявление, предотвращение и нейтрализация реальных и потенциальных угроз национальной безопасности Украины в киберпространстве. Во-первых, совершенно непонятно, что за «жизненно важные интересы» в киберпространстве, которые защищаются, но это больше вопрос законодательной техники. Во-вторых, это определение дублирует дефиницию «национальной безопасности» с определенным приспособлением к особенностям объекта правовой охраны, а это не совсем правильно, учитывая то, что может сложиться впечатление, что киберпространство – это некая «параллельная реальность». На самом деле это не так, параллельной реальности не существует.

Кибербезопасность по-европейски

Основополагающим нормативным актом в сфере кибербезопасности является Конвенция Совета Европы о киберпреступности от 23.11.2001, ратифицирована 07.09.2005. Она предусматривает существования таких групп кибервторжений и угроз:
  • правонарушения, связанные с конфиденциальностью, целостностью и доступностью компьютерных данных и систем, к которым относятся: незаконный (несанкционированный) доступ к компьютерным системам; нелегальный перехват компьютерных данных; повреждение, уничтожение, ухудшение, изменение или сокрытие компьютерной информации; вмешательства в функционирование компьютерной системы; незаконное изготовление, использование компьютерных программ, паролей и тому подобное;
  • правонарушения, связанные с компьютерами, в частности подделка и мошенничество;
  • правонарушения, связанные с содержанием, в частности с детской порнографией;
  • правонарушения, связанные с нарушением авторских и смежных прав.
В 2013 г. было принято «Стратегию ЕС по кибербезопасности: открытый, надежный и безопасный киберпространство», которая имеет целью гармонизировать подходы к кибербезопасности во всех государствах-членах ЕС. 

Учитывая указанное, стратегия преследует следующие 5 целей:
  1. Достижения киберстойкости.
  2. Существенное сокращение киберпреступности.
  3. Разработка политики киберобороны, связанной с общей политикой безопасности и обороны (CSDP).
  4. Развитие производственных и технологических ресурсов для кибербезопасности.
  5. Создание согласованной международной политики киберпространства для ЕС и продвижения основных ценностей ЕС.
Кроме того, вопросы, связанные с кибербезопасностью, регулируются принятой Европарламентом Директивой 2016/1148 о мерах для обеспечения высокого уровня безопасности сетевых и информационных систем во всем Союзе от 06.07.2016 (NIS Directive), которая устанавливает требования безопасности в таких критически важных сферах, как банковское, энергетика, транспорт, здравоохранение, инфраструктура финансового рынка и цифровая инфраструктура, а также в сферах онлайн-услуг (торговых площадок, поисковых систем, облачных технологий). Этот документ возлагает на государств-членов ЕС в т.ч. следующие обязанности:
  • принятие государственных стратегий NIS, которые определят стратегические цели в сфере кибербезопасности;
  • формирование национального органа, на который будут возложены обязанности по реализации и контроля за соблюдением NIS Directive;
  • создания Computer Security Incident Response Teams, ответственного за инциденты и угрозы, возникающие в сферах, определенных директивой.
Все будет конфиденциально

Сейчас в ЕС действует переходный период в сфере конфиденциальности. Еще остается в силе Директива 95/46/ЕС о защите физических лиц при обработке персональных данных и свободном перемещении таких данных " от 24.10.1995 (Data Protection Directive), которая утратит силу со вступлением в законную силу Регламенту 2016/679 о защите физических лиц относительно обработки персональных данных и свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС от 27.04.2016 (General Data Protection Regulation). Поэтому целесообразно рассматривать конфиденциальность именно в контексте General Data Protection Regulation.

Под персональными данными указанный регламент понимает любую информацию, касающуюся конкретно определенного физического лица или лица, которое может быть конкретно определена. Физическое лицо, которое идентифицируют, является той, которую можно идентифицировать прямо или косвенно (опосредованно), в частности, с помощью идентификатора, такого как имя, идентификационный номер, информация о локацию, онлайн-идентификатора или с одним или более факторами, специфическими для физической, психологической, генетической, умственной, экономической, культурной или социальной индивидуальности этого физического лица. Аналогичное определение содержится в Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных от 28.01.1981, которая ратифицирована 6.07.2010.

Теперь более подробно о том, что нового принесет General Data Protection Regulation. Это, в частности:
  • по сравнению с Data Protection Directive, которая имеет рекомендательный характер, General Data Protection Regulation является обязательным для всех государств-членов ЕС;
  • де-факто регламент будет иметь влияние не только на лиц, которые обрабатывают персональные данные в государствах-участниках ЕС, но и на лиц, которые хотя и находятся за пределами ЕС, но обрабатывают персональные данные резидентов ЕС;
  • согласие на обработку персональных данных должно быть «явной»;
  • закрепляется возможность подачи исков – аналогов коллективных, которые существуют в американской правовой системе, в случае потери персональных данных при их обработке;
  • как и раньше, субъекты персональных данных имеют право знать, кто и с какой целью обрабатывает их персональные данные. Вместе с тем, регламент устанавливает срок для предоставления ответа на такой запрос 30 дней (директива не определяет);
  • регламентировано право «быть забытым», в частности, в следующих случаях: а) отпала потребность в обработке данных с целью, для которой они были собраны; b) субъект персональных данных отозвал свое согласие на обработку персональных данных; с) отпали законные основания для обработки персональных данных; d) персональные данные обрабатываются незаконно; е) персональные данные должны быть удалении для выполнения юридических обязанностей; f) персональные данные были собраны в связи с предоставлением услуг информационного общества детям;
  • устанавливается обязанность информирования субъектов персональных данных об их правах;
  • любое лицо (физическое или юридическое), которое обрабатывает персональные данные, будет нести ответственность. Это также касается третьих лиц, под которыми регламент понимает физических или юридических лиц, государственные органы, учреждения или организации, кроме субъекта данных, контролера, процессора и лиц, под непосредственным руководством контроллера или процессора имеют право на обработку персональных данных;
  • ужесточаются санкции.
Следует отметить, что по общему правилу, в частности согласно «Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных», защита данных связывается с защитой данных именно физических лиц. Вместе с тем, договаривающиеся стороны могут обеспечивать защиту данных юридических лиц, таких как бизнес-компании и ассоциации в их внутреннем законодательстве.

Облачные вычисления

Стандарты ЕС в сфере облачных технологий охватываются упомянутыми выше документами – как общими в сфере кибербезопасности, так и в отношении конфиденциальности. Кроме того, эти технологии описаны в принятом Еврокомиссией документе «Раскрытие потенциала облачных технологий в Европе» (Unleashing the Potential of Cloud Computing in Europe). Согласно нему, облачные вычисления в упрощенном виде можно понимать как хранение, обработку и использование данных на удаленных компьютерах, доступных через интернет. Они характеризуются следующими признаками:
  • аппаратные комплексы (компьютеры, устройства хранения данных) является собственностью поставщика облачных услуг, а не пользователя, который взаимодействует с ним через интернет;
  • точное расположение данных или процессов, как и информации, что является частью АПК и используется пользователем в данный момент, не имеет для пользователя значение, даже если это может быть важным для применяемого правового поля;
  • провайдеры облачных технологий распределяют рабочие нагрузки (например, от одного компьютера или одного центра обработки данных в другой) с целью оптимизации использования доступного оборудования;
  • хранение и обработка данных проводятся удаленно и делают их доступными, например, через приложение (компания может использовать облачные вычисления так же, как пользователи используют свои почтовые аккаунты);
  • компании и частные лица могут получить доступ и использовать свое программное обеспечение, когда и где это им необходимо, например, на персональных компьютерах, планшетах и смартфонах;
  • облако состоит из уровней: аппаратное обеспечение, промежуточное программное обеспечение или платформа и программное обеспечение;
  • пользователи обычно платят за использование, избегая при этом больших авансовых и постоянных затрат, необходимых для создания и эксплуатации компьютерного оборудования, которого они требуют;
  • пользователи могут легко изменять количество и качество оборудования, которое используют.
Unleashing the Potential of Cloud Computing in Europe предусматриваются 3 основных действия:

1) разработка типовых договоров на справедливых условиях, которые будут безопасны для сторон и будут включаться следующие положения: сохранение данных после окончания действия договора; о раскрытии данных и сохранения их целостности; размещение и перемещение данных; право собственности на данные; положения по ответственности;

2) разработка и унификация стандартов, которые существуют в сфере облачных технологий;

3) создание European Cloud Partnership с целью внедрения инноваций и роста государственного сектора.

Выводы

ЕС не стоит на месте, постоянно изменяя и совершенствуя подходы к регулированию сферы кибернетической и информационной безопасности. Учитывая, что Соглашением об ассоциации между Украиной и ЕС предусмотрено сотрудничество по развитию информационного общества, очевидным является факт, что национальное законодательство должно воплотить европейские стандарты правового регулирования в этой сфере.



Количество показов: 1885
Автор:  Наталья Найман «Jurimex, ЮК» юрист практики IT права

Возврат к списку