Правове регулювання кібербезпеки в умовах євроінтеграції

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Правове регулювання кібербезпеки в умовах євроінтеграції

Пипяк М.І., Козловська А.І., Дремлюга В.В.

Пипяк М.І., кандидат юридичних наук, доцент кафедри права Вінницький торговельно-економічний інститут КНТЕУ Київський національний торговельно-економічний університет

Козловська А.І., студентка 4 курсу факультету економіки менеджменту та права Вінницький торговельно-економічний інститут Київський національний торговельно-економічний університет

Дремлюга В.В., студентка 4 курсу факультету економіки менеджменту та права Вінницький торговельно-економічний інститут Київський національний торговельно-економічний університет

У статті досліджені передумови і особливості формування законодавства України у сфері кібербезпеки. Досліджено підходи й порядок здійснення кіберзахисту у ЄС, практичне підґрунтя кібероборони, напрям політики держави щодо загроз у кіберпросторі та проаналізовано основні нормативно-правові акти, які регулюють різні аспекти забезпечення кібербезпеки як на рівні всієї держави, так і для захисту окремих громадян. Визначені напрями адаптації чинного законодавства про кібербезпеку до стандартів ЄС у межах реалізації положень Угоди про асоціацію між Україною та ЄС.

Кібербезпека - це безпека інформаційних систем (обладнання та програм). Натомість інформаційна безпека - це безпека інформації, зазвичай організації чи компанії, у тому числі в інформаційно-телекомунікаційних системах. Таким чином, кібербезпека є частиною інформаційної безпеки будь-якої організації.

Сьогодні законодавче регулювання кіберзахисту в Україні знаходиться на початку свого формування, проте найскладніший етап - визначення стратегії, меж та напрямів державної політики забезпечення кіберзахисту пройдено. Безумовно, на цьому шляху ще багато проблем, але є і досягнення. Невирішеними є питання державно-приватної взаємодії, ще не сформовані переліки об'єктів критичної інфраструктури, триває розроблення підходів до кібероборони, попереду ще великий пласт проблем та обсяг роботи, спрямованої на нормативно-правове врегулювання у сфері кібербезпеки.

Найбільш перспективними напрямами розвитку національної системи кіберзахисту, на нашу думку, є: вдосконалення правової основи кіберзахисту об'єктів критичної інфраструктури; впровадження системи незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури; створення галузевих центрів реагування на кіберінциденти; розвиток міжнародного співробітництва у сфері забезпечення кібербезпеки; розвиток системи підготовки кадрів у сфері кібербезпеки; підвищення цифрової грамотності (правил кібергігієни) громадян та культури безпекового поводження в кіберпросторі, впровадження систем інформаційного комплаєнсу.

Ключові слова: безпека інформації, інформаційна безпека, кіберпростір, кібербезпека.

LEGAL REGULATION OF CYBER SECURITY IN THE CONDITIONS OF EUROPEAN INTEGRATION

The article exammes the prereqrnsties and features of the formation of Ukrammn legиlation іп the field of cybersecurity. The approaches and procedure of cyber defense іп the EU, the practical basй of cyber defense, the dtiection of state poticy on threats іпcyberspace and analyzed the basm regulations governmg various aspects of cybersecurity at the state level and to protect mdmdual dtizens. The dtiections of adaptation of the current legйlation on cybersecurity to the EU standards wtihm the timtis of reatization of provйmns of the Assocmtion Agreement between Ukrame and the EU are defined.

Cybersecurity й the security of mformation systems (eqrnpment and programs). Instead, mformation security й the security of mformation, usually orgamzations or compames, mcludmg іп mformation and telecommumcations systems. Thus, cybersecurity й part of the mformation security of any orgamzation.

Today, the legйlative regulation of cyber security іп Ukrame й at the begmnmg of tis formation, but the most dfficult stage - definmg the strategy, boundaries and dtiections of state poticy to ensure cyber security has been passed. Of course, there are still many problems along the way, but there are also achиvements. Unresolved tisues of pubtic-private cooperation, not yet formed tists of critical mfrastructure, the development of approaches to cyber defense, a large layer of problems and the amount of work amed at regulatory regulation іп the field of cybersecurity.

The most promйmg areas for the development of the national cybersecurity system, іп our opmrnn, are: mprovmg the legal framework for cybersecurity of critical mfrastructure; mtroduction of an mdependent mformation security audti system at critical mfrastructure factitifs; creation of sectoral cyber mrident response centers; development of mternational cooperation іп the field of cybersecurity; development of a trammg system іп the field of cybersecurity; mcreasmg dtial titeracy (rules of cyber hygmne) of dtizens and the culture of safe behavmr іп cyberspace, the mtroduction of mformation comptiance systems.

Keywords: mformation security, mformation security, cyberspace, cybersecurity.

Постановка проблеми

В умoвах єврoiнтеграцiї України, з урахуванням пoбудoви iнфoрмацiйнoгo суспільства, все бiльшoї актуальнoстi набувають питання правoвoгo забезпечення iнфoрмацiйнoї безпеки - запoбiгання й усунення рiзнoманiтними засобами і спoсoбами загрoз людині, суспільству, державі в iнфoрмацiйнiй сфері. Однак у сучаснoму багатoграннoму та динамiчнoму світі прoблеми iнфoрмацiйнoї безпеки набувають принципoвo нoвих рис, тепер вoни вихoдять далекo за межі запoбiгання війн і збрoйних кoнфлiктiв. Сьoгoднi вoни стали їх підґрунтям, першoджерелoм, oнoвним ресурсoм та гoлoвнoю збрoєю.

Обравши єврoiнтеграцiйний курс та визначивши вступ дo НАТО свoїм стратегічним прioритетoм, Україна має oрiєнтуватися передусім на стратегію розвитку країн-учасниць ЄС та НАТO в iнфoрмацiйнiй сфері. Для нашої держави імплементація європейських стандартів правового забезпечення кібербезпеки держави є пріоритетним засобом інтеграції в європейський правовий простір.

Аналіз останніх досліджень і публікацій. Питанням правового регулювання відносин у сфері кібербезпеки присвячені наукові роботи вчених: О.А. Баранова, П.Д. Біленчука, В.М. Бутузова, В. Голубева, Д.В. Дубова, О.Є. Користіна, О.В. Орлова, Ю.М. Онищенко, В.М. Панченко, Ю.М. Супрунова, А.Л. Татузова, О.О. Тихомирова, В.П. Шеломенцева та інших.

Формування цілей статті

Метою даного дослідження є обґрунтування основних аспектів правового регулювання кібербезпеки в умовах євроінтеграції.

Виклад основного матеріалу дослідження

Кіберпростір - це новий канал для створення і поширення різноманітної інформації, він став новим двигуном зростання економіки, новою платформою соціального управління, новим способом міжнародного співробітництва, до того ж і зовсім новою сферою державного суверенітету [1, с. 112].

Однак кіберпростір надає нам не тільки ресурси, можливості, але і містить загрози. Посилена цифровізація та зв'язок збільшують ризики кібербезпеки, тим самим роблячи суспільство загалом більш вразливим до кіберзагроз, посилюючи небезпеку, з якою стикаються люди, включаючи вразливих осіб, таких як діти.

Для зменшення цих ризиків необхідно вжити всіх необхідних заходів для поліпшення кібербезпеки в Світі, щоб мережеві та інформаційні системи, комунікаційні мережі, цифрові продукти, послуги та пристрої, якими користуються громадяни, організації та підприємства - починаючи від малих та середніх до значних, що визначені в Рекомендації Комісії 2003/361 / ЄС, для операторів критичної інфраструктури - краще захищені від кіберзагроз. До того ж кібербезпека сучасної держави має прямий вплив на всі складові його політики.

Кібернапади - це найбільші ризики, з якими може стикнутися будь-яка організація. За даними глобального огляду, проведеного об'єднанням ISACA тільки 38% респондентів вважають, що вони підготовлені до кібернападів, решта 83% відносять кібернапади до одною з найнебезпечніших загроз для організації. За наявності великого обсягу персональної та конфіденційної інформації, яку пересилають за допомогою електронних засобів, несанкціонований доступ до неї може спричинити серйозні наслідки [2, с. 80].

До прийняття Закону України «Про основні засади забезпечення кібербезпеки України» правову основу кібербезпеки України становили Конституція України, закони України «Про основи національної безпеки», «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних системах» та інші закони, Конвенція Ради Європи про кіберзлочинність, інші міжнародні договори, згода на обов'язковість яких надана Верховною Радою України, Доктрина інформаційної безпеки України, а також інші нормативно-правові акти [3].

Прийнятий 5 жовтня 2017 року ЗУ “Про основи забезпечення кібербезпеки України” (далі - Закон), можна по праву вважати першим нормативним інструментом, який зачіпає дану галузь на національному рівні. Однак за фактом, Закон швидше встановлює загальні положення і декларує основні аспекти даної сфери, ніж служить правовим інструментом для практичного застосування [3].

Отже, закон конкретизує об'єкти критичної інфраструктури, які підлягають кіберзахисту, визначає суб'єкти захисту кібербезпеки і їх повноваження, а також вводить в правове середовище дєякі терміни, з приставкою кібер.

Наприклад, згідно з п.5 ст. 1 Закону, кібербезпека визначається як захищеність життєво важливих інтересів людини і громадянина, суспільства і держави при використанні кіберпростору, при якій забезпечуються сталий розвиток інформаційного суспільства та належних заходів для запобігання потенційних загроз безпеки України в кіберсередовищі [3].

Крім іншого, Закон передбачає і державно-приватне взаємодію в сфері кібербезпеки, як вказується в ст. 10 Закону. Проте, це положення також носить досить формальний характер. В цілому, не дивлячись на те, що Закон спрямований на захист інтересів як держави, так і кожного громадянина, основні його пункти все ж стосуються формування загальної державної політики щодо кібербезпеки [3].

Після ухвалення 20 грудня 2002 року Генеральною асамблеєю ООН резолюції 57/239 “Елементи для створення глобальної культури кібербезпеки” зазначений термін почав активно використовуватись у вітчизняній правовій термінології. Складніше було з імплементацією змісту резолюції. Зокрема, Генеральна асамблея ООН констатувала, що стрімкий розвиток інформаційної технології означає зміну підходів державних органів, організацій та індивідуальних користувачів до питання кібербезпеки. За цих умов було визначено дев'ять взаємопов'язаних елементів, а саме:

- обізнаність (тобто учасники повинні бути обізнані щодо необхідності безпеки інформаційних систем та мереж, а також про те, що саме вони можуть здійснити для підвищення безпеки);

- відповідальність (учасники відповідають за безпеку мереж відповідно до власної ролі);

- реагування (учасники мають вживати своєчасних та спільних заходів щодо попередження інцидентів, які стосуються безпеки, їх виявлення та реагування, у тому числі обмінюватись інформацією і вводити процедури, які передбачають оперативне та ефективне співробітництво з метою попередження, виявлення та реагування таки інцидентів;

- етика (врахування законних інтересів інших);

- демократія (безпека повинна забезпечуватись таким чином, щоб це відповідало демократичним цінностям, включаючи свободу обміну думками та ідеями, вільний потік інформації, конфіденційність інформації, належний захист приватної інформації; відкритість та гласність);

- оцінка ризиків (учасники повинні здійснювати періодичну оцінку ризиків з метою виявлення загроз та факторів уразливості, мати належні технології та інструменти контролю для цього з урахуванням значущості інформації, яка захищається);

- проектування та впровадження засобів забезпечення безпеки;

- переоцінка (належні та своєчасні заходи з внесення змін у політику і практику забезпечення безпеки з урахуванням виникнення нових та зміни існуючих загроз) [4].

У подальшому правове регулювання вжиття заходів з кібербезпеки (окрім деяких суто кримінально-правових аспектів) в Україні в основному було зумовлено вимогами євроатлантичної інтеграції держави і випливало з доктрин, стратегій та настанов НАТО і Євросоюзу.

Варто зауважити, забезпечення інформаційної безпеки людини, суспільства, держави, їх захист від зовнішніх і внутрішніх загроз посідають чільне місць у державній політиці країн Європи, котрі орієнтуються при цьому на стандарти ЄС і НАТО. Відповідні зразки мають бути орієнтиром і для України на шляху до реалізації її євроінтеграційних спрямувань [2, с. 74].

Акцентовано увагу, що для України як держави, котра втягнена у гібридну війну, зазнала тимчасової окупації окремих територій, корисним є досвід країн Центральної Європи у забезпеченні інформаційної безпеки.

У країнах ЄС значна увага приділяється також проблемі кібербезпеки як складової інформаційної безпеки. З 1999 року реалізуються програми «Безпечніший Інтернет» (Safer Internet), у рамках яких здійснюються заходи, спрямовані на боротьбу не лише зі шкідливим контентом, але й з небезпечною поведінкою в мережі [5, с. 85].

У 2007 році Європейська Комісія оприлюднила документ «На шляху до загальної політики в сфері боротьби з кіберзлочинністю». У свою чергу Повідомлення Європейської Комісії «Захист Європи від широкомасштабних кібератак та руйнувань: посилення рівня підготовленості, безпеки та стійкості» (2009 р.) визначило головні виклики/проблеми, які потребують негайного реагування з боку країн ЄС, а також окреслило основні заходи щодо посилення безпеки та здатності європейської критичної інформаційної інфраструктури протистояти зовнішнім впливам.

Європейські стандарти інформаційної діяльності органів державної влади передбачають їх максимальну інформаційну відкритість, окрім винятків, пов'язаних із дотриманням конфіденційності інформації з обмеженим доступом. Передусім це стосується забезпечення безпеки персональних даних [5, с. 87].

Констатовано, що країни ЄС сформували злагоджену систему забезпечення інформаційної безпеки, але водночас кожна країна має свої закони, положення, інструкції щодо врегулювання питань інформаційної безпеки.

Зокрема, для Німеччини характерна детальна нормативно-правова розробка системи різних видів інформації з обмеженим доступом, чіткі формулювання їх визначень у федеральному законодавстві. Зазначено, що основним принципом забезпечення інформаційної безпеки Німеччини на сучасному етапі є «активна оборона».

До аналогічних заходів вдається і Франція. Румунія і Болгарія значну увагу приділяють захисту персональних даних та розбудові системи кібернетичної безпеки держави як на законодавчому, так і на організаційному рівнях.

Національна інформаційна політика Польщі зорієнтована на побудову вільного відкритого суспільства, забезпечення прав людини, впровадження концепції вільного транскордонного обігу інформації, створення незалежних і плюралістичних масмедіа [5, с. 78].

Найбільш перспективними напрямами розвитку національної системи кіберзахисту, на нашу думку, є:

- вдосконалення правової основи кіберзахисту об'єктів критичної інфраструктури;

- впровадження системи незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури;

- створення галузевих центрів реагування на кіберінциденти;

- розвиток міжнародного співробітництва у сфері забезпечення кібербезпеки;

- розвиток системи підготовки кадрів у сфері кібербезпеки;

- підвищення цифрової грамотності (правил кібергігієни) громадян та культури безпекового поводження в кіберпросторі;

- впровадження систем інформаційного комплаєнсу;

- створення довірчих відносин між державою та суспільством, для якого держава повинна грати сервісну роль [6, с. 7].

Висновки

Отже, сьогодні законодавче регулювання кіберзахисту в Україні в умовах євроінтеграції знаходиться на початку свого формування, проте, найскладніший етап - визначення стратегії, меж та напрямів державної політики забезпечення кіберзахисту пройдено.

Безумовно, на цьому шляху ще багато проблем, але є і досягнення. Невирішеними є питання державно-приватної взаємодії, ще не сформовані переліки об'єктів критичної інфраструктури та інші, триває розробка підходів до кібероборони, попереду ще великий пласт проблем та обсяг роботи, спрямованої на нормативно-правове врегулювання в сфері кібербезпеки.

Література

кіберзахист державний європейський

1. Гринчук Т. Ю. Теоретико-правове осмислення інформаційної безпеки держави у контексті розвитку інформаційного суспільства. Теоретико-правові основи формування та розвитку інформаційного суспільства. 2017. С. 111-114.

2. Довгань О.Д. Правове забезпечення інформаційної безпеки держави як підгалузь інформаційного права: теоретичний дискурс. Інформація i право. 2018. № 2 (25). С. 73-85.

3. Про основні засади забезпечення кібербезпеки України: Закон України № № 2163- VIII від 05.10.2017 р. URL: http://zakon4.rada.gov.ua

4. Стандарти ISO/IEC захистять від кіберзагроз. 31.08.2016. URL: http://csm.kiev.ua.

5. Ткачук ТЮ. Забезпечення інформаційної безпеки в умовах євроінтеграції України: правовий вимір: моногр. К.: ВД «АртЕк», 2018. 422 с.

6. Ткачук ТЮ. Напрями імплементації міжнародних стандартів захисту персональних даних у законодавство України. Митна справа. 2010. № 5. Ч. 2. С. 3-9.

Размещено на Allbest.ru