15 апреля 2022 года в Узбекистане был принят Закон «O кибербезопасности» за № ЗРУ-764, который регулирует отношения в сфере кибербезопасности. Однако, данный Закон вступит в силу по истечении трех месяцев со дня его официального опубликования – 17 июля 2022.
Данный Закон постановляет, что единую государственную политику в сфере кибербезопасности определяет Президент Республики Узбекистан. Также, Законом устанавливается уполномоченный государственный орган в сфере кибербезопасности, которым является Служба государственной безопасности Республики Узбекистан. Уполномоченный государственный орган наделен широким рядом прав и полномочий.
К полномочиям данного государственного органа в сфере кибербезопасности относятся:
• разработка нормативно-правовых актов и государственных программ в сфере кибербезопасности;
• проведение оперативно-розыскных мероприятий, доследственных проверок и следственных действий по инцидентам кибербезопасности;
• принятие решения о включении объектов в единый реестр объектов критической информационной инфраструктуры на основе сведений, представленных субъектами кибербезопасности;
• определение требований по обеспечению кибербезопасности объектов критической информационной инфраструктуры;
• организация работ по внедрению средств выявления, предотвращения и устранения последствий кибератак, а также принятие мер относительно инцидентов кибербезопасности на объектах критической информационной инфраструктуры;
• организация работ по выявлению, сбору и анализу данных об имеющихся уязвимостях и возможных угрозах на объектах критической информационной инфраструктуры.
Кроме того, уполномоченный государственный орган при осуществлении полномочий в сфере кибербезопасности имеет следующие права:
• осуществление функции государственного контроля и проверка обеспечения состояния кибербезопасности на беспрепятственный доступ и подключение к информационным системам и ресурсам организаций, а также изучение данных в части внедрения и эксплуатации средств обеспечения кибербезопасности информационных систем и ресурсов этих объектов;
• безвозмездное пользование техническими установками и услугами для принятия безотлагательных мер по устранению кибератак;
• доступ к системам мониторинга или объектам критической информационной инфраструктуры для осуществления организационно-технических мероприятий при проведении мониторинговых работ по обеспечению кибербезопасности;
• входить беспрепятственно, при необходимости с повреждением запирающих устройств и других предметов, в жилые помещения физических и юридических лиц, осматривать их при преследовании лиц, подозреваемых в совершении преступлений в сфере информационных технологий, либо при наличии достаточных оснований полагать, что там совершается или совершено такое преступление.
Данный Закон также обязывает субъекты кибербезопасности (юридические лица и индивидуальных предпринимателей):
• уведомлять уполномоченный государственный орган о произошедших инцидентах кибербезопасности и киберпреступлениях;
• осуществлять взаимный обмен с уполномоченным государственным органом данными в сфере охраны и проведения мониторинга безопасной работы объектов кибербезопасности;
• обеспечивать функционирование механизмов принятия мер в отношении инцидентов кибербезопасности и работу подразделений по обеспечению кибербезопасности, а в случае их отсутствия — пользоваться услугами аутсорсинга с разрешения уполномоченного государственного органа в установленном порядке;
• предоставлять уполномоченному государственному органу право доступа в мониторинговые системы и (или) объекты кибербезопасности для осуществления организационно-технических мероприятий мониторинга обеспечения кибербезопасности.
По нашему мнению, некоторые положения Закона идут вразрез с основным принципом гражданского права, а именно с принципом свободы договора, а также с принципами, сформированными в огромном количестве законов и нормативно-правовых актов – о недопустимости произвольного вмешательства кого-либо в частные дела и необходимости беспрепятственного осуществления гражданских прав. Однако, как будет практически реализовываться настоящий Закон остается под вопросом.
Большинство требований данного Закона коснулись объектов критической информационной инфраструктуры. К данной категории относятся системы информатизации, применяемые в сфере:
• государственного управления и оказания государственных услуг;
• обороны, обеспечения государственной безопасности, правопорядка;
• топливно-энергетического комплекса (атомной энергетики), химической, нефтехимической отраслях, металлургии;
• водопользования и водоснабжения, сельского хозяйства;
• здравоохранения, жилищно-коммунального обслуживания;
• банковско-финансовой системы, транспорта;
• информационно-коммуникационных технологий;
• экологии и охраны окружающей среды, добычи и переработки полезных ископаемых стратегического значения, производственной сфере;
• и в других отраслях экономики и социальной сфере.
Субъекты критической информационной инфраструктуры в обязательном порядке подлежат экспертизе на соответствие требованиям кибербезопасности, а также должны сертифицировать аппаратные, аппаратно-программные и программные средства. Сотрудники, ответственные за обеспечение кибербезопасности объектов критической информационной инфраструктуры, проходят аттестацию, проводимую уполномоченным государственным органом. Информация об инцидентах кибербезопасности является ограниченной к распространению и может быть раскрыта после полного устранения инцидентов.
Данный Закон также прописывает государственную поддержку и развитие в сфере кибербезопасности. Например, поддержкой субъектов кибербезопасности являются:
• предоставление субъектам кибербезопасности налоговых, таможенных льгот и преференций;
• создание условий для привлечения средств хозяйствующих субъектов для финансирования сферы кибербезопасности.
Поддержка научно-технической и инновационной деятельности в сфере кибербезопасности включает в себя:
• выделение субсидий субъектам кибербезопасности для финансирования научно-исследовательских, конструкторских и технологических работ, проводимых в процессе реализации инвестиционных проектов;
• стимулирование спроса на инновационную продукцию, в том числе оптимизации закупаемых для государственных нужд товаров (работ, услуг);
• оказание финансовой помощи организациям, реализующим проекты по улучшению уровня кибербезопасности, в том числе занимающимся инновационной деятельностью в оказании услуг с использованием имеющихся передовых технологий.
Государство осуществляет развитие и поддержку кадрового потенциала в сфере обеспечения кибербезопасности и стимулирует работников, ответственных за обеспечение кибербезопасности объектов критической информационной инфраструктуры.
Также Закон отдельно подчеркивает готовность и открытость Республики Узбекистан осуществлять международное сотрудничество в области обеспечения кибербезопасности. Информация по вопросам борьбы с международной киберпреступностью может быть представлена иностранным государствам и международным организациям предварительно без запроса, если сведения не препятствуют следственным действиям или судебному процессу и служат приостановлению кибератак. Уполномоченный государственный орган может по запросу предоставить иностранным государствам и международным организациям информацию по вопросам борьбы с международной киберпреступностью. Более того, подобная информация может быть представлена предварительно без запроса, если такие сведения не препятствуют следственным действиям или судебному процессу и служат приостановлению кибератак, своевременному выявлению и устранению преступных действий, совершаемых с использованием киберпространства.