Организационно-правовые основы обеспечения кибербезопасности в Королевстве Испания

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Организационно-правовые основы обеспечения кибербезопасности в Королевстве Испания

И.А. Трофимец

Автор анализирует состояние нормативного правового регулирования организации и обеспечения кибербезопасности в Королевстве Испания. Результатом проведенного исследования является вывод о формирующейся тенденции гомогенизации международного и внутригосударственного права. В Испании национальная законодательная база обеспечения кибербезопасности формируется на основе международных правовых актов с учетом общепризнанных правовых норм и принципов.

Ключевые слова: киберпространство, Интернет, глобальное информационное общество, кибербезопасность, киберинцидент, управление киберинцидентами, технические стандарты, нормативные правовые акты

The author analyzes the state of legal regulation of the organization and provision of cybersecurity in the Kingdom of Spain. The result of the research is the conclusion about the emerging trend of homogenization of international and national law. In Spain the national legislative framework for ensuring cybersecurity is formed on the basis of international legal acts, taking into account generally recognized legal norms and principles.

Keywords: cyberspace, Internet, global information society, cybersecurity, cyber incident, cyber incident management, technical standards, normative legal acts

Кибербезопасность является одним из краеугольных камней неудержимого процесса цифровой трансформации, всемирная сеть Интернет стирает границы и устанавливает новый формат общественных отношений. Построение глобального информационного общества и переход к обществу знаний, в котором информация и информационно-коммуникационные технологии (далее - ИКТ) считаются основными объектами общественных отношений, требует надлежащего правового регулирования с целью поддержания законности и правопорядка. Другими словами, важным аспектом развития современногообщества считается надежность и защищенность информации и ИКТ, которые обеспечивают его жизнедеятельность, так называемая информационная безопасность¹ или кибербезопасность². Правовой институт кибербезопасности сформирован из норм права, содержащихся в нормативных правовых актах различной юридической силы, систематизированных как по вертикали, так и по горизонтали. Для удобства реализации прав субъектов информационных отношений и эффективности правоприменительной практики все нормативные правовые акты, регулирующие вопросы кибербезопасности на территории Испании систематизированы в сборнике CodigodeDerechodelaCiberseguridad³.

Теоретико-юридическими проблемами кибербезопасности занимаются Мария Хосе Карасо Либана, Хосе Анхель Кастро, Хорхе Лосано Миральес, Алина Настасаче, Маргарита Роблес Каррильо, Хорхе Сальгейро, Хавьер То- баль⁴ и др.

CodigodeDerechodelaCiberseguridadсодержит извлечения из 22 международных правовых актов, регулирующих информационные отношения в сфере кибербезопасности и более 50 национальных нормативных правовых актов, содержащих нормы права, обеспечивающие информационную безопасность.

Основополагающим внутренним источником правового регулирования является Закон 36/2015 от 28 сентября «О национальной безопасности»⁵ (далее -Закон 2015 г.). Целью Закона 2015 г. являлось установление основных В России наиболее разработана концепция информационной безопасности в работах Т.А. Поляковой. См., например: Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: Дис. ... д- ра юрид. наук. М., 2008 и др. Дискуссия по вопросу тождественности категорий «информационная безопасность» и «кибербезопасность» см.: Трофимец И.А. Информационная безопасность в информационной сфере записей актов гражданского состояния // Вестник ВГУ. Серия: Право. 2021. № 3 (46).Codigo de Derecho de la Ciberseguridad // https://www.boe.es Caraso Liebana Maria Jose. El Derecho de la proteccion de datos. Madrid, 2021. 169 р.; Castro Jose Angel. Opinion: La ciberseguridad: el reto de la transformacion digital // https://www.america-retail.com; Lozano Miralles Jorge. La lucha contra el terrorismo en el marco del sistema de seguridad nacional. Pamplona, 2021. 411 р.; Nastasache Alina. Analisis a la Ley de Ciberseguridad /.Que supone su aplicacion? // https://www.dpoitlaw.com; Robles Carrillo Margarita. Seguridad de redes y sistemas de information en la Union Europea: /,un enfoque integral? // Revista de Derecho Comunitario Europeo. № 22 (60). 2018. Pags. 563600; Salgueiro Jorge. Comentarios sobre la ciberseguridad en la seguridad privada // https://www.interempresas.net; Tobal Javier. Ciberseguridad. Madrid, 2020. 258 р. and others. Ley 36/2015, de 28 de septiembre, de Seguridad Nacional // «BOE» num. 233, de 29/09/2015. принципов и компонентов национальной безопасности, определение системы органов власти, в компетенцию которых входит обеспечение и кризисное управление вопросами национальной безопасности, а также создание специальных информационных ресурсов (систем). В Законе 2015 г. национальная безопасность рассматривается как общая цель органов публичной власти (государственных, региональных и местных) всех ветвей, а также гражданского общества и отдельных граждан. При разработке Закона 2015 г. учитывались реально существующие проблемы национальной безопасности, выходящие за рамки таких традиционных категорий, как общественная безопасность, оборона, иностранная разведка и других, недавно включенных, например, энергетика, транспорт, экономическая стабильность, окружающая природная среда и киберпространство. Как отмечено испанским законодателем, национальный интерес требует улучшения координации между различными государственными органами и поиск новых механизмов предотвращения и реагирования, которые помогут решить проблемы, связанные с разрозненностью действий, организованных на различных уровнях публичной власти. Заслуживает внимания дефинирование в Законе 2015 г. концепции национальной безопасности в целом, государственной инфополитики и инфокультуры. Особое внимание уделено инструментам сотрудничества с международными структурами антикризисного управления, их омологации и совершенствованию связей с общественностью.

Для реализации отдельных положений Закона 2015 г. принят Приказ 33/2018 от 22 января «Соглашение о деятельности Национального совета по кибербезопасности»¹, вводящий в государственную систему специализированный орган, в компетенцию которого входит контроль и надзор в сфере информационной безопасности. Вообще в зависимости от характера возможных угроз и рисков в Национальный совет по кибербезопасности входят представители публичной власти по различным сферам жизнедеятельности общества: Государственный секретарь по транспорту, мобильности и городскому развитию, Государственный секретарь по энергетике и ядерной безопасности, Государственный секретарь по цифровизации и искусственному интеллекту, Государственный секретарь по телекоммуникациям и цифровой инфраструктуре, Государственный секретарь по экономике и поддержке бизнеса, Государственный секретарь Министерства обороны, Государственный секретарь безопасности Министерства внутренних дел, Генеральный секретарь по исследованиям министерства науки и инноваций, Государственный секретарь Министерства Orden PRA/33/2018, de 22 de enero, por la que se publica el Acuerdo del Consejo de Seguridad Nacional, por el que se regula el Consejo Nacional de Ciberseguridad // «BOE» num. 20, de 23 de enero de 2018, paginas 8186 a 8190 (5 pags.). здравоохранения, Государственный секретарь по окружающей среде, Генеральный секретарь сельского хозяйства и продовольствия. Национальный совет по кибербезопасности организует сотрудничество и координацию между соответствующими группами реагирования на инциденты информационной безопасности (англ. CSIRT- ComputerSecurityIncidentResponseTeam)через национальную платформу уведомлений и мониторинга киберинцидентов, являющуюся государственным информационным ресурсом.

В Испании в качестве дорожной карты института информационной безопасности можно отметить Национальную стратегию кибербезопасности 2013 г. (далее - Стратегия), которая устанавливает приоритеты, цели и соответствующие меры для достижения и поддержания высокого уровня защищенности информационных отношений, заложив институциональные основы. Отнесение таких официальных документов как «стратегия» к категориям нормативных правовых актов остается открытым, вместе с тем абсолютно точно можно утверждать, что они выражают политико-идеологическую волю действующей власти, по этой причине не могут не влиять на правовую систему государства.

Более детально правовые гарантии информационной безопасности устанавливаются Королевским указом-законом 12/2018 от 7 сентября «О безопасности сетей и информационных систем»Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informacion // «BOE» num. 218, de 8 de septiembre de 2018, paginas 87675 a 87696 (22 pags.). (далее - Королевский указ-закон), т.н. Закон о кибербезопасности. Это не единственный специальный нормативный правовой акт, являющийся источником данного правого института, но базовый (главенствующий). Любые информационные угрозы техногенной цивилизации могут нанести серьезный ущерб политике, экономике и социальной сфере, и, в конечном счете, подорвать национальную безопасность государства. Если требования к информационной безопасности сепаратно определять для каждой из обозначенных областей жизнедеятельности общества, то такой подход приведет к потере эффективности юридических мер, поскольку используемый для противодействия их межсекторальный и взаимосвязанный характер, не может приниматься изолированно и разобщенно. По этой причине в Испании была предпринята попытка создать механизмы, которые в перспективе позволят комплексно улучшить защиту от информационных угроз и рисков, влияющих на сети и информационные системы, облегчат координацию действий, проводимых в этом вопросе, как на национальном, так и международном уровнях.

В связи с тем, что Испания входит в Европейский союз, ее правовая система основывается на нормативных правовых актах этого регионального объединения, составляя вертикаль законодательной базы. В частности, по вопросу информационной безопасности Королевский указ-закон имплементирует в испанскую правовую систему Директиву 2016/1148 Европейского парламента и Совета Европейского союза от 06.07.2016 «О мерах, направленных на обеспечение высокого общего уровня безопасности сетей и информационных систем в Европейском союзе» Директива № 2016/1148 Европейского парламента и Совета Европейского союза «О мерах, направленных на обеспечение высокого общего уровня безопасности сетей и информационных систем в Европейском союзе» [рус., англ.] (Принятавг. Страсбурге 06.07.2016) // https://eur-lex.europa.eu (далее - Директива). Этим международным актом уславливается режим максимальной гомогенизации, поскольку считается, что регламентация на национальном уровне не будет эффективной в связи с тем, что регулируемые отношения по своей сути имеют транснациональный характер. Королевский указ-закон подчеркивает необходимость учета европейских и международных стандартов, а также исходящих от CSIRTрекомендаций с целью применять передовой опыт, полученный на этих форумах, и способствовать продвижению внутреннего рынка и участию в нем национальных компаний. В отношении горизонтального регулирования, следует отметить, что принятию нового нормативного правового акта предшествовали Закон 8/2011 от 28 апреля «О мерах по защите критически важных инфраструктур» Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccion de las infraestructuras criticas // «BOE» num. 102, de 29/04/2011., раннее названный Закон 2015 г., а также Королевский указ 3/2010 от 8 января «О схеме национальной безопасности в области электронного администрирования и специальные положения о безопасности информационных систем государственногосектора» Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ambito de la Administration Electronica //«BOE» num. 25, de 29/01/2010.. Именно стремительное развитие информационных отношений обусловило появление еще специального нормативного правового акта, регулирующего вопросы информационной безопасности - Королевского указа-закона, который принят на основании исключительных полномочий, предоставленных государству в вопросах общего режима связи и общественной безопасности в соответствии со ст.ст. 29 и 149 Конституции Испании Constitution Espanola 1978 // «BOE» num. 311, de 29/12/1978.. Королевский указ-закон представляет собой правовой инструмент, как того неоднократно требовал Конституционный суд (Решения: 6/1983 от 4 февраля, 11/2002 от 17 января, 137/2003 от 3 июля и 189/2005 от 7 июля), для решения государственных задач по управлению информационным обществом.

Содержание Королевского указа-закона выходит за рамки Директивы, что оправдывается национальными правовыми традициями и особенностями, а также объективной реальностью испанского общества и государственного управления им, существующими публичными координационными органами и юридическими инструментами. Круг лиц, к которым применяется Королевский указ-закон, ограничивается организациями, предоставляющими основные и цифровые услуги. Особое внимание уделено поставщикам (операторам) критической информационной инфраструктуры. Отмечается, что роль национальных органов власти ограничена, они контролируют поставщиков (операторов) основных и цифровых услуг, учрежденных в Испании, и координируют свои действия с соответствующими компетентными органами других стран Европейского союза.

В соответствии с главной концепцией Королевского указа-закона операторы (поставщики) основных и цифровых услуг должны принимать необходимые меры для управления угрозами и рисками, которые возникают при работе с информационными системами, даже если управление передано на аутсорсинг. Обязательства по обеспечению безопасности должны быть пропорциональны уровню угроз и рисков, с которым они сталкиваются, и основаны на их предварительной оценке. Кроме того, могут быть указаны обязательства по обеспечению безопасности, требуемые от поставщиков (операторов) основных и цифровых услуг, включая, участие или проверки в управлении кризисными ситуациями. В этом нормативном правовом акте много внимания уделяется вопросам культуры управления угрозами и рисками, что не может не находить одобрения. Предполагается использование общей платформы для уведомления об инцидентах (угрозах и рисках) таким образом, чтобы поставщикам (операторам) не приходилось делать несколько уведомлений в зависимости от органа, к которому они должны обращаться. Платформа также может использоваться для уведомления о нарушениях безопасности персональных данных в соответствии с Регламентом 2016/679 Европейского парламента и Совета Европейского союза от 27.04.2016 «О защите физических лиц при обработке личных данных и свободном распространении этих данных» Регламент 2016/679 Европейского парламента и Совета Европейского союза от 27.04.2016 «О защите физических лиц при обработке личных данных и свободном распространении этих данных»// http://www.eurasiancommission.org.

Принятие Королевского указа-закона, устанавливающего юридические меры информационной безопасности, согласовано с техническими регламентами предоставления основных и цифровых услуг в информационном обществе. Закон о кибербезопасности соответствует Директиве 2015/1535 Европейского парламента и Совета Европейского союза от 09.09.2015, которая устанавливает процедуру, касающуюся технических регламентов и правил предоставления услуг в информационном обществе Директива 2015/1535 Европейского парламента и Совета Европейского союза от 09.09.2015, которая устанавливает процедуру, касающуюся технических регламентов и правил предоставления услуг в информационном обществе // https://eur-lex.europa.eu, а также Королевскому указу 1337/1999 от 31 июля, который регулирует вопросы принятия и действия стандартов, технических регламентов и положений, касающихся предоставления услуг в информационном обществе Real Decreto 1337/1999, de 31 de julio, por el que se regula la remision de information en materia de normas y reglamentaciones tecnicas y reglamentos relativos a los servicios de la sociedad de la information // «BOE» num. 185, de 04/08/1999.. Отмеченное обстоятельство подтверждает тенденцию гомогенизации и трансграничности информационного права и его отдельных институтов.

Необходимо отметить, что, несмотря на обновление правовой системы в период становления информационных отношений, Королевский указ-закон, тем не менее, не изменяет традициям национальной юридической техники. Этот нормативный правовой акт имеет внутреннюю логическую структуру и состоит из семи разделов. В первом разделе содержатся легальные дефиниции, формируя тем самым терминологическую базу, необходимую для правильного толкования и применения правовых норм. Во втором разделе определяется сфера действия этого нормативного правового акта и круг субъектов, на которые распространяется его юридическая сила. Третий раздел включает стратегические и институциональные рамки безопасности сетей и информационных систем, особо регламентируются вопросы сотрудничества между государственными органами. Пятый раздел устанавливает обязательства поставщиков (операторов) основных и цифровых услуг по обеспечению информационной безопасности, содержит отсылочные нормы к отраслевым правовым положениям, без ущерба для координации, осуществляемой Советом безопасности Европейского союза, включает схему сотрудничества с соответствующими международными структурами. Пятый раздел, самый обширный по содержанию, регулирует вопросы уведомлений об инцидентах, в частности, об инцидентах с трансграничным воздействием, и управления ими. Уведомление определено в качестве основного инструмента реагирования на киберинциденты. Детально представлены требования к аудиту компьютерной безопасности, что исключает возможность создания рынка ненадлежащих аудиторов, способных обходить законодательство по проверке сертификатов безопасности, достигается это за счет введения особого информационного ресурса - реестра сертификатов безопасности. Шестой раздел предоставляет полномочия по инспектированию и контролю компетентных органов и сотрудничеству с национальными властями других государств-членов Европейского союза. Заключительный седьмой раздел классифицирует нарушения и санкции в сфере информационной безопасности, акцентируясь на превентивных мерах.

Источники правового регулирования организации и обеспечения киберезопасности в Королевстве Испания имеют строгую иерархию и распределяются в правовой системе по своей юридической силе. Основные принципы закреплены в Конституции, общие положения международно-правовых актов имплементированы в национальную правовую систему, а также принят ряд соответствующих внутригосударственных нормативных правовых актов. Центральное место в правовом институте информационной безопасности занимает Закон о кибербезопасности. Основная заслуга этого акта - это гармонизация правового регулирования вопросов информационной безопасности сетей и информационных систем с европейской нормативной правовой системой, разработка юридических основ трансграничного сотрудничества между государственным и частным сектором для противодействия информационным угрозам и рискам, а также управления киберинцидентами.

Список литературы

кибербезопасность испания правовой

Caraso Liebana Maria Jose. El Derecho de la proteccion de datos. Madrid, 2021.

Castro Jose Angel. Opinion: La ciberseguridad: el reto de la transformacion digital // https://www.america-retail.com

Lozano Miralles Jorge. La lucha contra el terrorismo en el marco del sistema de seguridad nacional. Pamplona, 2021.

Nastasache Alina. Analisis a la Ley de Ciberseguridad ^Que supone su aplica- cion? // https://www.dpoitlaw.com

Robles Carrillo Margarita. Seguridad de redes y sistemas de informacion en la Union Europea: ^un enfoque integral? // Revista de Derecho Comunitario Europeo. ISSN 1138-4026. № 22 (60). 2018.

Salgueiro Jorge. Comentarios sobre la ciberseguridad en la seguridad privada // http s ://www. interempresas. net

TobalJavier.Ciberseguridad. Madrid, 2020.

Организационное и правовое обеспечение информационной безопасности / Под ред. Т.А. Поляковой. М., 2019.

Полякова Т.А. Актуальные проблемы развития системы правового обеспечения информационной безопасности в цифровую эпоху и юридическое образование // Вестник Университета имени О. Е. Кутафина. 2019. № 12.

Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: Дис. ... д-ра юрид. наук. М., 2008.

Полякова Т.А., Акулова Е.В. Развитие законодательства в области обеспечения информационной безопасности: тенденции и основные проблемы // Право. Журнал Высшей школы экономики. 2015. № 3.

Полякова Т.А., Бойченко И.С. Развитие применения дистанционных технологий и «Цифровизация» общественных отношений в условиях новых вызовов: теоретические и практические проблемы // Образование и право. 2020. № 3.

Полякова Т.А., Минбалеев А.В. Обзор круглого стола «Глобальное информационное общество в условиях цифровизации и новых вызовов: правовые проблемы и исследования» (Москва, Институт государства и права РАН, 15 мая 2020 г.) // Труды Института государства и права РАН. 2020. Том 15. № 2.

Полякова Т.А., Минбалеев А.В., Наумов В.Б. Форсайт-сессия «Информационная безопасность в XXI веке: вызовы и правовое регулирование» // Труды Института государства и права РАН. 2018. Том 13. № 5.

Трофимец И.А. Информационная безопасность в информационной сфере записей актов гражданского состояния // Вестник ВГУ. Серия: Право. 2021. № 3 (46).

Болтинова О.В. Бюджетное право: Учебное пособие для магистратуры. М: Норма: ИНФРА-М, 2018. С. 65;

Болтинова О.В. Бюджетный процесс в Российской Федерации: теоретические основы и проблемы развития: Дис. ... д-ра юрид. наук. М., 2008. С. 34;

Бюджетное право: Учебник / Под ред. Н.А. Саттаровой. М.: Деловой двор, 2009 // Доступ из СПС «КонсультантПлюс»; Бюджетное право: Учебник / Под ред. И.А. Цин- делиани. М.: Проспект, 2018 // Доступ из СПС «КонсультантПлюс»;

Землянская Н.И. О понятии «расходы бюджета» // Ленинградский юридический журнал. 2013. № 3. С. 73;

Ильин А.В. Правовые основы расходов бюджета: Монография. М.: Статут, 2014. С. 21;

Кучеров И.И. Бюджетное право России: Курс лекций. М.: АО «Центр ЮрИнфоР», 2002. С. 95;

Палозян О.А. Финансово-правовое регулирование бюджетных расходов: Автореф. дис. ... канд. юрид. наук. М., 2017. С. 8;

Протасеня С.И. Эффективность бюджетных расходов в рамках модели бюджетирования, ориентированного на результат: теория и законодательство // Известия Санкт-Петербургского государственного экономического университета. 2018. № 6. С. 173;

Саттарова Н.А. Меры государственного принуждения

Контрат И.Н., Костюк Н.Н. Статика и динамика механизма реализации защиты прав и законных интересов субъектов гражданского правоотношения // Вестник Санкт- Петербургского университета МВД России. 2006. № 2. С. 215; Наточеева Н.Н.

Постановление Конституционного Суда Российской Федерации от 06.11.2013 г. № 23-П «По делу о проверке конституционности части первой статьи 56 Закона Российской Федерации «О пенсионном обеспечении лиц, проходивших военную службу, службу в органах внутренних дел, Государственной противопожарной службе, органах по контролю за оборотом наркотических средств и психотропных веществ,

Авакьян С.А. Конституционное право Росси. М., 2007. Т. 1. С. 53; Богданова Н.А. Система науки конституционного права. М., 2001. С. 211; Митюков

Размещено на Allbest.ru