Организационно-правовые основы обеспечения кибербезопасности в Королевстве Испания

Размещено на http://www.Allbest.Ru/

Организационно-правовые основы обеспечения кибербезопасности в Королевстве Испания

Аннотация

Ключевые слова: киберпространство, Интернет, глобальное информационное общество, кибербезопасность, кибер-инцидент, управление кибер-инцидентами, технические стандарты, нормативные правовые акты

Annotation

Keywords: cyberspace, Internet, global information society, cybersecurity, cyber incident, cyber incident management, technical standards, normative legal acts

Кибербезопасность является одним из краеугольных камней неудержимого процесса цифровой трансформации, всемирная сеть Интернет стирает границы и устанавливает новый формат общественных отношений. Построение глобального информационного общества и переход к обществу знаний, в котором информация и информационно-коммуникационные технологии (далее - ИКТ) считаются основными объектами общественных отношений, требует надлежащего правового регулирования с целью поддержания законности и правопорядка. Другими словами, важным аспектом развития современного общества считается надежность и защищенность информации и ИКТ, которые обеспечивают его жизнедеятельность, так называемая информационная безопасностьВ России наиболее разработана концепция информационной безопасности в работах Т.А. Поляковой. См., например: Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: Дис. ... д- ра юрид. наук. М., 2008 и др. или кибербезопасностьДискуссия по вопросу тождественности категорий «информационная безопасность» и «кибербезопасность» см.: Трофимец И.А. Информационная безопасность в информационной сфере записей актов гражданского состояния // Вестник ВГУ. Серия: Право. 2021. №3 (46). C6digo de Derecho de la Ciberseguridad. Правовой институт кибербезопасности сформирован из норм права, содержащихся в нормативных правовых актах различной юридической силы, систематизированных как по вертикали, так и по горизонтали. Для удобства реализации прав субъектов информационных отношений и эффективности правоприменительной практики все нормативные правовые акты, регулирующие вопросы кибербезопасности на территории Испании систематизированы в сборнике Cдdigo de Derecho de 1а Ciberseguridad.

Теоретико-юридическими проблемами кибербезопасности занимаются Мария Хосе Карасо Либана, Хосе Анхель Кастро, Хорхе Лосано Миральес, Алина Настасаче, Маргарита Роблес Каррильо, Хорхе Сальгейро, Хавьер ТобальCaraso Liebana Maria Josй. El Derecho de la protecci6n de datos. Madrid, 2021. 169 р.; Castro Josй Вngel. Opini6n: La ciberseguridad: el reto de la transformaci6n digital; Lozano Miralles Jorge. La lucha contra el terrorismo en el marco del sistema de seguridad nacional. Pamplona, 2021.411 р.; Nastasache Alina. Anвlisis a la Ley de Ciberseguridad / Quй supone su aplicaci6n?; Robles Carrillo Margarita. Seguridad de redes y sistemas de informaci6n en la Uni6n Europea: /un enfoque integral? // Revista de Derecho Comunitario Europeo. №22 (60). 2018. Pвgs. 563600; Salgueiro Jorge. Comentarios sobre la ciberseguridad en la seguridad privada // Tobal Javier. Ciberseguridad. Madrid, 2020. 258 р. and others. и др.

Cдdigo de Derecho de 1а Ciberseguridad содержит извлечения из 22 международных правовых актов, регулирующих информационные отношения в сфере кибербезопасности и более 50 национальных нормативных правовых актов, содержащих нормы права, обеспечивающие информационную безопасность.

Основополагающим внутренним источником правового регулирования является Закон 36/2015 от 28 сентября «О национальной безопасности»Ley 36/2015, de 28 de septiembre, de Seguridad Nacional // «BOE» nщm. 233, de 29/09/2015. (далее -Закон 2015 г.). Целью Закона 2015 г. являлось установление основных принципов и компонентов национальной безопасности, определение системы органов власти, в компетенцию которых входит обеспечение и кризисное управление вопросами национальной безопасности, а также создание специальных информационных ресурсов (систем). В Законе 2015 г. национальная безопасность рассматривается как общая цель органов публичной власти (государственных, региональных и местных) всех ветвей, а также гражданского общества и отдельных граждан. При разработке Закона 2015 г. учитывались реально существующие проблемы национальной безопасности, выходящие за рамки таких традиционных категорий, как общественная безопасность, оборона, иностранная разведка и других, недавно включенных, например, энергетика, транспорт, экономическая стабильность, окружающая природная среда и киберпространство. Как отмечено испанским законодателем, национальный интерес требует улучшения координации между различными государственными органами и поиск новых механизмов предотвращения и реагирования, которые помогут решить проблемы, связанные с разрозненностью действий, организованных на различных уровнях публичной власти. Заслуживает внимания дефинирование в Законе 2015 г. концепции национальной безопасности в целом, государственной инфополитики и инфокультуры. Особое внимание уделено инструментам сотрудничества с международными структурами антикризисного управления, их омологации и совершенствованию связей с общественностью.

Для реализации отдельных положений Закона 2015 г. принят Приказ 33/2018 от 22 января «Соглашение о деятельности Национального совета по кибербезопасности», вводящий в государственную систему специализированный орган, в компетенцию которого входит контроль и надзор в сфере информационной безопасности. Вообще в зависимости от характера возможных угроз и рисков в Национальный совет по кибербезопасности входят представители публичной власти по различным сферам жизнедеятельности общества: Государственный секретарь по транспорту, мобильности и городскому развитию, Государственный секретарь по энергетике и ядерной безопасности, Государственный секретарь по цифровизации и искусственному интеллекту, Государственный секретарь по телекоммуникациям и цифровой инфраструктуре, Государственный секретарь по экономике и поддержке бизнеса, Государственный секретарь Министерства обороны, Государственный секретарь безопасности Министерства внутренних дел, Генеральный секретарь по исследованиям министерства науки и инноваций, Государственный секретарь Министерства здравоохранения, Государственный секретарь по окружающей среде, Генеральный секретарь сельского хозяйства и продовольствия. Национальный совет по кибербезопасности организует сотрудничество и координацию между соответствующими группами реагирования на инциденты информационной безопасности (англ. CSIRT - Computer Security Incident Response Team) через национальную платформу уведомлений и мониторинга киберинцидентов, являющуюся государственным информационным ресурсом.

В Испании в качестве дорожной карты института информационной безопасности можно отметить Национальную стратегию кибербезопасности 2013 г. (далее - Стратегия), которая устанавливает приоритеты, цели и соответствующие меры для достижения и поддержания высокого уровня защищенности информационных отношений, заложив институциональные основы. Отнесение таких официальных документов как «стратегия» к категориям нормативных правовых актов остается открытым, вместе с тем абсолютно точно можно утверждать, что они выражают политико-идеологическую волю действующей власти, по этой причине не могут не влиять на правовую систему государства.

Более детально правовые гарантии информационной безопасности устанавливаются Королевским указом-законом 12/2018 от 7 сентября «О безопасности сетей и информационных систем»Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informacion // «BOE» num. 218, de 8 de septiembre de 2018, paginas 87675 a 87696 (22 pags.). (далее - Королевский указ-закон), т.н. Закон о кибербезопасности. Это не единственный специальный нормативный правовой акт, являющийся источником данного правого института, но базовый (главенствующий). Любые информационные угрозы техногенной цивилизации могут нанести серьезный ущерб политике, экономике и социальной сфере, и, в конечном счете, подорвать национальную безопасность государства. Если требования к информационной безопасности сепаратно определять для каждой из обозначенных областей жизнедеятельности общества, то такой подход приведет к потере эффективности юридических мер, поскольку используемый для противодействия их межсекторальный и взаимосвязанный характер, не может приниматься изолированно и разобщенно. По этой причине в Испании была предпринята попытка создать механизмы, которые в перспективе позволят комплексно улучшить защиту от информационных угроз и рисков, влияющих на сети и информационные системы, облегчат координацию действий, проводимых в этом вопросе, как на национальном, так и международном уровнях.

В связи с тем, что Испания входит в Европейский союз, ее правовая система основывается на нормативных правовых актах этого регионального объединения, составляя вертикаль законодательной базы. В частности, по вопросу информационной безопасности Королевский указ-закон имплементирует в испанскую правовую систему Директиву 2016/1148 Европейского парламента и Совета Европейского союза от 06.07.2016 «О мерах, направленных на обеспечение высокого общего уровня безопасности сетей и информационных систем в Европейском союзе»Директива №2016/1148 Европейского парламента и Совета Европейского союза «О мерах, направленных на обеспечение высокого общего уровня безопасности сетей и информационных систем в Европейском союзе» [рус., англ.] (Принята в г. Страсбурге 06.07.2016) (далее - Директива). Этим международным актом уславливается режим максимальной гомогенизации, поскольку считается, что регламентация на национальном уровне не будет эффективной в связи с тем, что регулируемые отношения по своей сути имеют транснациональный характер. Королевский указ-закон подчеркивает необходимость учета европейских и международных стандартов, а также исходящих от СБШТ рекомендаций с целью применять передовой опыт, полученный на этих форумах, и способствовать продвижению внутреннего рынка и участию в нем национальных компаний. В отношении горизонтального регулирования, следует отметить, что принятию нового нормативного правового акта предшествовали Закон 8/2011 от 28 апреля «О мерах по защите критически важных инфраструктур»Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protecciцn de las infraestructuras criticas // «BOE» num. 102, de 29/04/2011., раннее названный Закон 2015 г., а также Королевский указ 3/2010 от 8 января «О схеме национальной безопасности в области электронного администрирования и специальные положения о безопасности информационных систем государственного сектора»Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ambito de la Administraciцn Electrцnica //«BOE» num. 25, de 29/01/2010.. Именно стремительное развитие информационных отношений обусловило появление еще специального нормативного правового акта, регулирующего вопросы информационной безопасности - Королевского указа-закона, который принят на основании исключительных полномочий, предоставленных государству в вопросах общего режима связи и общественной безопасности в соответствии со ст.ст. 29 и 149 Конституции ИспанииConstituciцn Espanola 1978 // «BOE» num. 311, de 29/12/1978.. Королевский указ-закон представляет собой правовой инструмент, как того неоднократно требовал Конституционный суд (Решения: 6/1983 от 4 февраля, 11/2002 от 17 января, 137/2003 от 3 июля и 189/2005 от 7 июля), для решения государственных задач по управлению информационным обществом.

Содержание Королевского указа-закона выходит за рамки Директивы, что оправдывается национальными правовыми традициями и особенностями, а также объективной реальностью испанского общества и государственного управления им, существующими публичными координационными органами и юридическими инструментами. Круг лиц, к которым применяется Королевский указ-закон, ограничивается организациями, предоставляющими основные и цифровые услуги. Особое внимание уделено поставщикам (операторам) критической информационной инфраструктуры. Отмечается, что роль национальных органов власти ограничена, они контролируют поставщиков (операторов) основных и цифровых услуг, учрежденных в Испании, и координируют свои действия с соответствующими компетентными органами других стран Европейского союза.

В соответствии с главной концепцией Королевского указа-закона операторы (поставщики) основных и цифровых услуг должны принимать необходимые меры для управления угрозами и рисками, которые возникают при работе с информационными системами, даже если управление передано на аутсорсинг. Обязательства по обеспечению безопасности должны быть пропорциональны уровню угроз и рисков, с которым они сталкиваются, и основаны на их предварительной оценке. Кроме того, могут быть указаны обязательства по обеспечению безопасности, требуемые от поставщиков (операторов) основных и цифровых услуг, включая, участие или проверки в управлении кризисными ситуациями. В этом нормативном правовом акте много внимания уделяется вопросам культуры управления угрозами и рисками, что не может не находить одобрения. Предполагается использование общей платформы для уведомления об инцидентах (угрозах и рисках) таким образом, чтобы поставщикам (операторам) не приходилось делать несколько уведомлений в зависимости от органа, к которому они должны обращаться. Платформа также может использоваться для уведомления о нарушениях безопасности персональных данных в соответствии с Регламентом 2016/679 Европейского парламента и Совета Европейского союза от 27.04.2016 «О защите физических лиц при обработке личных данных и свободном распространении этих данных» Регламент 2016/679 Европейского парламента и Совета Европейского союза от 27.04.2016 «О защите физических лиц при обработке личных данных и свободном распространении этих данных».

Принятие Королевского указа-закона, устанавливающего юридические меры информационной безопасности, согласовано с техническими регламентами предоставления основных и цифровых услуг в информационном обществе. Закон о кибербезопасности соответствует Директиве 2015/1535 Европейского парламента и Совета Европейского союза от 09.09.2015, которая устанавливает процедуру, касающуюся технических регламентов и правил предоставления услуг в информационном обществеДиректива 2015/1535 Европейского парламента и Совета Европейского союза от 09.09.2015, которая устанавливает процедуру, касающуюся технических регламентов и правил предоставления услуг в информационном обществе, а также Королевскому указу 1337/1999 от 31 июля, который регулирует вопросы принятия и действия стандартов, технических регламентов и положений, касающихся предоставления услуг в информационном обществеReal Decreto 1337/1999, de 31 de julio, por el que se regula la remisiцn de informaciцn en materia de normas y reglamentaciones tecnicas y reglamentos relativos a los servicios de la sociedad de la mformaciцn // «BOE» num. 185, de 04/08/1999.. правовой кибербезопасность информационный система испания

Отмеченное обстоятельство подтверждает тенденцию гомогенизации и трансграничности информационного права и его отдельных институтов.

Необходимо отметить, что, несмотря на обновление правовой системы в период становления информационных отношений, Королевский указ-закон, тем не менее, не изменяет традициям национальной юридической техники. Этот нормативный правовой акт имеет внутреннюю логическую структуру и состоит из семи разделов. В первом разделе содержатся легальные дефиниции, формируя тем самым терминологическую базу, необходимую для правильного толкования и применения правовых норм. Во втором разделе определяется сфера действия этого нормативного правового акта и круг субъектов, на которые распространяется его юридическая сила. Третий раздел включает стратегические и институциональные рамки безопасности сетей и информационных систем, особо регламентируются вопросы сотрудничества между государственными органами. Пятый раздел устанавливает обязательства поставщиков (операторов) основных и цифровых услуг по обеспечению информационной безопасности, содержит отсылочные нормы к отраслевым правовым положениям, без ущерба для координации, осуществляемой Советом безопасности Европейского союза, включает схему сотрудничества с соответствующими международными структурами. Пятый раздел, самый обширный по содержанию, регулирует вопросы уведомлений об инцидентах, в частности, об инцидентах с трансграничным воздействием, и управления ими. Уведомление определено в качестве основного инструмента реагирования на киберинциденты. Детально представлены требования к аудиту компьютерной безопасности, что исключает возможность создания рынка ненадлежащих аудиторов, способных обходить законодательство по проверке сертификатов безопасности, достигается это за счет введения особого информационного ресурса - реестра сертификатов безопасности. Шестой раздел предоставляет полномочия по инспектированию и контролю компетентных органов и сотрудничеству с национальными властями других государств-членов Европейского союза. Заключительный седьмой раздел классифицирует нарушения и санкции в сфере информационной безопасности, акцентируясь на превентивных мерах.

Источники правового регулирования организации и обеспечения кибербезопасности в Королевстве Испания имеют строгую иерархию и распределяются в правовой системе по своей юридической силе. Основные принципы закреплены в Конституции, общие положения международно-правовых актов имплементированы в национальную правовую систему, а также принят ряд соответствующих внутригосударственных нормативных правовых актов. Центральное место в правовом институте информационной безопасности занимает Закон о кибербезопасности. Основная заслуга этого акта - это гармонизация правового регулирования вопросов информационной безопасности сетей и информационных систем с европейской нормативной правовой системой, разработка юридических основ трансграничного сотрудничества между государственным и частным сектором для противодействия информационным угрозам и рискам, а также управления киберинцидентами.

Список литературы

1. Caraso Liebana Maria Josй. El Derecho de la proteccion de datos. Madrid, 2021.

2. Castro Josй Angel. Opinion: La ciberseguridad: el reto de la transformacion digital

3. Lozano Miralles Jorge. La lucha contra el terrorismo en el marco del sistema de seguridad nacional. Pamplona, 2021.

4. Nastasache Alina. Analisis a la Ley de Ciberseguridad Quй supone su aplicacion?

5. Robles Carrillo Margarita. Seguridad de redes y sistemas de informacion en la Union Europea: un enfoque integral? // Revista de Derecho Comunitario Europeo. ISSN 1138-4026. №22 (60). 2018.

6. Salgueiro Jorge. Comentarios sobre la ciberseguridad en la seguridad privada

7. Tobal Javier. Ciberseguridad. Madrid, 2020.

8. Организационное и правовое обеспечение информационной безопасности / Под ред. Т.А. Поляковой. М., 2019.

9. Полякова Т.А. Актуальные проблемы развития системы правового обеспечения информационной безопасности в цифровую эпоху и юридическое образование // Вестник Университета имени О. Е. Кутафина. 2019. № 12.

10. Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: Дис. ... д-ра юрид. наук. М., 2008.

11. Полякова Т.А., Акулова Е.В. Развитие законодательства в области обеспечения информационной безопасности: тенденции и основные проблемы // Право. Журнал Высшей школы экономики. 2015. № 3.

12. Полякова Т.А., Бойченко И.С. Развитие применения дистанционных технологий и «Цифровизация» общественных отношений в условиях новых вызовов: теоретические и практические проблемы // Образование и право. 2020. №3.

13. Полякова Т.А., Минбалеев А.В. Обзор круглого стола «Глобальное информационное общество в условиях цифровизации и новых вызовов: правовые проблемы и исследования» (Москва, Институт государства и права РАН, 15 мая 2020 г.) // Труды Института государства и права РАН. 2020. Том 15. №2.

14. Полякова Т.А., Минбалеев А.В., Наумов В.Б. Форсайт-сессия «Информационная безопасность в XXI веке: вызовы и правовое регулирование» // Труды Института государства и права РАН. 2018. Том 13. № 5.

15. Трофимец И.А. Информационная безопасность в информационной сфере записей актов гражданского состояния // Вестник ВГУ. Серия: Право. 2021. №3 (46).

Размещено на allbest.ru