Общественный фонд «Гражданская инициатива интернет политики» подготовил сравнительный анализ подходов к регулированию критической информационной инфраструктуры.
В ходе настоящего исследования было изучено регулирование защиты КИИ в ЕС, непосредственно в ФРГ и Соединенном Королевстве; странах Азии, в частности, в КНР, Японии и Сингапуре; а также в Российской Федерации, Казахстане и Грузии. Каждая юрисдикция представляет определенные особенности, тем не менее любое сравнительно-правовое исследование предполагает выявление не только отличных, но и схожих черт.
В качестве обобщения можно выделить две основные модели регулирования безопасности КИИ в зависимости от непосредственного предмета регулирования: «объектную» (РФ, Казахстан, Германия) и «субъектно-деятельностную» (ЕС кроме Германии, Грузия, Сингапур, Китай, Япония).
В ряде юрисдикций выделенных моделей можно найти наличие сходных терминов, аналогичные обязанности субъектов КИИ, идентичные полномочия компетентных органов в сфере обеспечения безопасности КИИ, установление административной и уголовной ответственности за нарушения в сфере КИИ. Указанное объясняется общей целью соответствующего регулирования – обеспечение безопасности КИИ.
Среди особенностей «объектной» модели можно назвать:
Указанный подход позволяет, с одной стороны, упорядочить гражданский оборот (новый собственник объекта понимает, к какой категории он относится и какие обязанности на него будут возложены), с другой – упрощает задачу государственным органам по осуществлению контроля за владельцами таких объектов даже в тех случаях, если последние неправильно осуществили категорирование.
Вместе с тем, указанному подходу недостает гибкости в части установления требований к безопасности конкретного объекта.
Среди особенностей «субъектно-деятельностной» модели можно отметить:
Субъектно-деятельностная модель определения предмета регулирования является более гибкой. Так, конкретный объект может принадлежать конкретному лицу, но не использоваться, следовательно, ущерб объекту не окажет существенного влияния.
В данной модели имеет значение хозяйственная деятельность субъекта в той или иной сфере и возможный ущерб такой значимой деятельности от компьютерного инцидента. Указанная модель предусматривает большую степень самостоятельности субъектов и, как правило, предполагает риск-ориентированный подход (когда субъект в каждом конкретном случае принимает решение о соразмерности предпринимаемых мер существующим киберугрозам).
Вместе с тем, указанная модель является менее структурированной и недостаточно прозрачной. Указанный вывод характерен в особенности для США.
На ранних этапах развития правового регулирования в сфере безопасности КИИ рекомендуется использовать объектный подход. Без установления четких критериев категорирования, оставляя определение категории объекта на усмотрение государственного органа или самого лица – владельца объекта КИИ, затруднительно обеспечить единообразие в сфере защищенности объектов КИИ от потенциальных угроз.
Расширение дискреционных полномочий ОГВ вне четких критериев представляет собой коррупциогенный фактор. Кроме того, расширение степени усмотрения субъектов хозяйственной деятельности, вне установления четких критериев несёт в себе риски игнорирования публичных интересов, низкого уровня защищенности объектов КИИ (в тех случаях, когда сама организация не считает необходимым предпринимать эффективные меры по защите). Ввиду вышеизложенного при разработке нормативно-правового регулирования в сфере КИИ в Киргизии рекомендуется в качестве основной модели использовать объектную модель регулирования безопасности КИИ.
С полным анализом можно ознакомиться по ссылке.
10 ноября 2023 года в Алматы прошел 7-й Центрально-Азиатский Форум по Управлению Интернетом, который собрал выдающихся экспертов в сфере технологий, цифровой устойчивости, приватности, цифровых прав,
Министерство экономики и коммерции Кыргызской Республики и Ассоциация Электронной Коммерции КР совместно с Генеральным партнером мирового уровня, компанией VISA и при поддержке проекта ПРООН
Центрально-Азиатский форум по управлению Интернетом 2023: «ЦИФРОВОЕ БУДУЩЕЕ ЦЕНТРАЛЬНОЙ АЗИИ»
Мы рады объявить, что Центрально-Азиатский форум по управлению Интернетом состоится в этом году 10