Сравнительный анализ подходов к регулированию КИИ

Общественный фонд «Гражданская инициатива интернет политики» подготовил сравнительный анализ подходов к регулированию критической информационной инфраструктуры.

В ходе настоящего исследования было изучено регулирование защиты КИИ в ЕС, непосредственно в ФРГ и Соединенном Королевстве; странах Азии, в частности, в КНР, Японии и Сингапуре; а также в Российской Федерации, Казахстане и Грузии. Каждая юрисдикция представляет определенные особенности, тем не менее любое сравнительно-правовое исследование предполагает выявление не только отличных, но и схожих черт.

В качестве обобщения можно выделить две основные модели регулирования безопасности КИИ в зависимости от непосредственного предмета регулирования: «объектную» (РФ, Казахстан, Германия) и «субъектно-деятельностную» (ЕС кроме Германии, Грузия, Сингапур, Китай, Япония).

В ряде юрисдикций выделенных моделей можно найти наличие сходных терминов, аналогичные обязанности субъектов КИИ, идентичные полномочия компетентных органов в сфере обеспечения безопасности КИИ, установление административной и уголовной ответственности за нарушения в сфере КИИ. Указанное объясняется общей целью соответствующего регулирования – обеспечение безопасности КИИ.

Среди особенностей «объектной» модели можно назвать:

• Регулирование направлено непосредственно на объекты КИИ;
• Наличие иерархически стройной системы регулирования в сфере КИИ;
• Построение терминологического аппарата от определения КИИ и ее объектов;
• Установление четких критериев категорирования через формирование «пороговых значений»;
• Точное определение обязанностей субъектов на транспарантной основе. Основные обязанности содержатся в Законе;
• Ограниченное количество уполномоченных органов с четко-определенной компетенцией.

Указанный подход позволяет, с одной стороны, упорядочить гражданский оборот (новый собственник объекта понимает, к какой категории он относится и какие обязанности на него будут возложены), с другой – упрощает задачу государственным органам по осуществлению контроля за владельцами таких объектов даже в тех случаях, если последние неправильно осуществили категорирование.

Вместе с тем, указанному подходу недостает гибкости в части установления требований к безопасности конкретного объекта.

Среди особенностей «субъектно-деятельностной» модели можно отметить:

• Регулирование деятельности субъектов в сфере КИИ;
• Разрозненность нормативно-правового регулирования в сфере безопасности КИИ;
• Построение терминологического аппарата от определения жизненно-важных услуг (сервисов);
• Гибкость в вопросах категорирования, риск-ориентированный подход;
• Множество регуляторов в разных сферах КИИ.

Субъектно-деятельностная модель определения предмета регулирования является более гибкой. Так, конкретный объект может принадлежать конкретному лицу, но не использоваться, следовательно, ущерб объекту не окажет существенного влияния.

В данной модели имеет значение хозяйственная деятельность субъекта в той или иной сфере и возможный ущерб такой значимой деятельности от компьютерного инцидента. Указанная модель предусматривает большую степень самостоятельности субъектов и, как правило, предполагает риск-ориентированный подход (когда субъект в каждом конкретном случае принимает решение о соразмерности предпринимаемых мер существующим киберугрозам).

Вместе с тем, указанная модель является менее структурированной и недостаточно прозрачной. Указанный вывод характерен в особенности для США.

На ранних этапах развития правового регулирования в сфере безопасности КИИ рекомендуется использовать объектный подход. Без установления четких критериев категорирования, оставляя определение категории объекта на усмотрение государственного органа или самого лица – владельца объекта КИИ, затруднительно обеспечить единообразие в сфере защищенности объектов КИИ от потенциальных угроз.

Расширение дискреционных полномочий ОГВ вне четких критериев представляет собой коррупциогенный фактор. Кроме того, расширение степени усмотрения субъектов хозяйственной деятельности, вне установления четких критериев несёт в себе риски игнорирования публичных интересов, низкого уровня защищенности объектов КИИ (в тех случаях, когда сама организация не считает необходимым предпринимать эффективные меры по защите). Ввиду вышеизложенного при разработке нормативно-правового регулирования в сфере КИИ в Киргизии рекомендуется в качестве основной модели использовать объектную модель регулирования безопасности КИИ.

С полным анализом можно ознакомиться по ссылке.