Закон
«O кибербезопасности»
background
15 апреля 2022 года в Узбекистане был принят Закон «O кибербезопасности» за № ЗРУ-764, который регулирует отношения в сфере кибербезопасности. Однако, данный Закон вступит в силу по истечении трех месяцев со дня его официального опубликования – 17 июля 2022.

Данный Закон постановляет, что единую государственную политику в сфере кибербезопасности определяет Президент Республики Узбекистан. Также, Законом устанавливается уполномоченный государственный орган в сфере кибербезопасности, которым является Служба государственной безопасности Республики Узбекистан. Уполномоченный государственный орган наделен широким рядом прав и полномочий.

К полномочиям данного государственного органа в сфере кибербезопасности относятся:

· разработка нормативно-правовых актов и государственных программ в сфере кибербезопасности;

· проведение оперативно-розыскных мероприятий, доследственных проверок и следственных действий по инцидентам кибербезопасности;

· принятие решения о включении объектов в единый реестр объектов критической информационной инфраструктуры на основе сведений, представленных субъектами кибербезопасности;

· определение требований по обеспечению кибербезопасности объектов критической информационной инфраструктуры;

· организация работ по внедрению средств выявления, предотвращения и устранения последствий кибератак, а также принятие мер относительно инцидентов кибербезопасности на объектах критической информационной инфраструктуры;

· организация работ по выявлению, сбору и анализу данных об имеющихся уязвимостях и возможных угрозах на объектах критической информационной инфраструктуры.

Кроме того, уполномоченный государственный орган при осуществлении полномочий в сфере кибербезопасности имеет следующие права:

· осуществление функции государственного контроля и проверка обеспечения состояния кибербезопасности на беспрепятственный доступ и подключение к информационным системам и ресурсам организаций, а также изучение данных в части внедрения и эксплуатации средств обеспечения кибербезопасности информационных систем и ресурсов этих объектов;

· безвозмездное пользование техническими установками и услугами для принятия безотлагательных мер по устранению кибератак;

· доступ к системам мониторинга или объектам критической информационной инфраструктуры для осуществления организационно-технических мероприятий при проведении мониторинговых работ по обеспечению кибербезопасности;

· входить беспрепятственно, при необходимости с повреждением запирающих устройств и других предметов, в жилые помещения физических и юридических лиц, осматривать их при преследовании лиц, подозреваемых в совершении преступлений в сфере информационных технологий, либо при наличии достаточных оснований полагать, что там совершается или совершено такое преступление.

Данный Закон также обязывает субъекты кибербезопасности (юридические лица и индивидуальных предпринимателей):

· уведомлять уполномоченный государственный орган о произошедших инцидентах кибербезопасности и киберпреступлениях;

· осуществлять взаимный обмен с уполномоченным государственным органом данными в сфере охраны и проведения мониторинга безопасной работы объектов кибербезопасности;

· обеспечивать функционирование механизмов принятия мер в отношении инцидентов кибербезопасности и работу подразделений по обеспечению кибербезопасности, а в случае их отсутствия — пользоваться услугами аутсорсинга с разрешения уполномоченного государственного органа в установленном порядке;

· предоставлять уполномоченному государственному органу право доступа в мониторинговые системы и (или) объекты кибербезопасности для осуществления организационно-технических мероприятий мониторинга обеспечения кибербезопасности.

По нашему мнению, некоторые положения Закона идут вразрез с основным принципом гражданского права, а именно с принципом свободы договора, а также с принципами, сформированными в огромном количестве законов и нормативно-правовых актов – о недопустимости произвольного вмешательства кого-либо в частные дела и необходимости беспрепятственного осуществления гражданских прав. Однако, как будет практически реализовываться настоящий Закон остается под вопросом.

Большинство требований данного Закона коснулись объектов критической информационной инфраструктуры. К данной категории относятся системы информатизации, применяемые в сфере:

· государственного управления и оказания государственных услуг;

· обороны, обеспечения государственной безопасности, правопорядка;

· топливно-энергетического комплекса (атомной энергетики), химической, нефтехимической отраслях, металлургии;

· водопользования и водоснабжения, сельского хозяйства;

· здравоохранения, жилищно-коммунального обслуживания;

· банковско-финансовой системы, транспорта;

· информационно-коммуникационных технологий;

· экологии и охраны окружающей среды, добычи и переработки полезных ископаемых стратегического значения, производственной сфере;

· и в других отраслях экономики и социальной сфере.

Субъекты критической информационной инфраструктуры в обязательном порядке подлежат экспертизе на соответствие требованиям кибербезопасности, а также должны сертифицировать аппаратные, аппаратно-программные и программные средства. Сотрудники, ответственные за обеспечение кибербезопасности объектов критической информационной инфраструктуры, проходят аттестацию, проводимую уполномоченным государственным органом. Информация об инцидентах кибербезопасности является ограниченной к распространению и может быть раскрыта после полного устранения инцидентов.

Данный Закон также прописывает государственную поддержку и развитие в сфере кибербезопасности.  Например, поддержкой субъектов кибербезопасности являются:

· предоставление субъектам кибербезопасности налоговых, таможенных льгот и преференций;

· создание условий для привлечения средств хозяйствующих субъектов для финансирования сферы кибербезопасности.

Поддержка научно-технической и инновационной деятельности в сфере кибербезопасности включает в себя:

· выделение субсидий субъектам кибербезопасности для финансирования научно-исследовательских, конструкторских и технологических работ, проводимых в процессе реализации инвестиционных проектов;

· стимулирование спроса на инновационную продукцию, в том числе оптимизации закупаемых для государственных нужд товаров (работ, услуг);

·   оказание финансовой помощи организациям, реализующим проекты по улучшению уровня кибербезопасности, в том числе занимающимся инновационной деятельностью в оказании услуг с использованием имеющихся передовых технологий.

 Государство осуществляет развитие и поддержку кадрового потенциала в сфере обеспечения кибербезопасности и стимулирует работников, ответственных за обеспечение кибербезопасности объектов критической информационной инфраструктуры.

Также Закон отдельно подчеркивает готовность и открытость Республики Узбекистан осуществлять международное сотрудничество в области обеспечения кибербезопасности. Информация по вопросам борьбы с международной киберпреступностью может быть представлена иностранным государствам и международным организациям предварительно без запроса, если сведения не препятствуют следственным действиям или судебному процессу и служат приостановлению кибератак. Уполномоченный государственный орган может по запросу предоставить иностранным государствам и международным организациям информацию по вопросам борьбы с международной киберпреступностью. Более того, подобная информация может быть представлена предварительно без запроса, если такие сведения не препятствуют следственным действиям или судебному процессу и служат приостановлению кибератак, своевременному выявлению и устранению преступных действий, совершаемых с использованием киберпространства.