Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Институциональные механизмы обеспечения безопасности критической информационной инфраструктуры Российской Федерации и Сингапура: сравнительно-правовой аспект.

Обновлено 06.01.2023 08:01

 

Объектом исследования являются отношения, возникающие при функционировании национального правового механизма обеспечения кибербезопасности. Предмет исследования составляют основные нормативно-правовые акты в сфере регулирования деятельности субъектов обеспечения безопасности критических информационных инфраструктур Российской Федерации и Сингапура, а также международные стандарты в исследуемой сфере. Исследуется институциональные механизмы обеспечения безопасности критической информационной инфраструктуры. Рассматривается правотворческая и правоприменительная деятельность в сфере обеспечения информационной безопасности. Определяются преимущества и недостатки национальных механизмов, делаются предложения по совершенствованию российского механизма. С целью получения наиболее достоверных научных результатов был использован ряд общенаучных (системно-структурный, формально-логический и герменевтический методы) и специальных юридических методов познания (сравнительно-правовой и формально-юридический методы). С точки зрения международных стандартов уровень обеспечения безопасности критической информационной инфраструктуры в Российской Федерации и Сингапуре достаточно высок. Недостатком российского законодательства является отсутствие правового регулирования процедуры идентификации информационных сетей как объектов и организаций как субъектов критической информационной инфраструктуры. Особенностью российского механизма является множественность субъектов, обеспечивающих безопасность критической информационной инфраструктуры, в отличие от сингапурского, представленного одним ведомством. Однако преимуществом российского механизма является участие службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки. Делается вывод о необходимости дальнейшего изучения и, возможно, закрепления в российском законодательстве таких инструментов обеспечения безопасности критической информационной инфраструктуры, разработанных в Сингапуре, как учения и аудит субъектов критической информационной инфраструктуры.

В 2018 году в России и Сингапуре произошли знаменательные события в сфере правового регулирования кибербезопасности: вступили в силу законы, устанавливающие национальные правовые механизмы обеспечения безопасности критической информационной инфраструктуры (далее - КИИ) - Федеральный закон Российской Федерации от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" [1] (далее - ФЗ-187) и Акт о кибербезопасности Сингапура 2018 года (Cybersecurity Act 2018, далее - CSA) [2].

В 2011 году Россия выступила с инициативой разработки и принятия международного механизма обеспечения кибербезопасности, предложив свою концепцию Конвенции об обеспечении международной информационной безопасности. Однако эта инициатива не получила широкой поддержки из-за существующих разногласий по поводу участников такого механизма, их полномочий, особенностей международного сотрудничества и т.д. Тенденции таковы, что формирование международных механизмов происходит на региональном уровне, в рамках международных межправительственных организаций (например, АСЕАН) и наднациональных образований (Европейский союз). Инициатива в такой сфере принадлежит одному-двум государствам, которые занимают лидирующую роль в интеграционных процессах и являются наиболее развитыми с точки зрения информационных технологий. Сингапур является таковым среди государств - участников АСЕАН - это один из крупнейших международных финансовых и торговых центров, что делает его идеальной мишенью для кибератак, последствия которых гораздо серьезнее, чем обычное нарушение общественного и экономического благополучия - под удар попадает вся цепочка международных поставок и банковская сфера, а в перспективе - международная экономика. Поэтому его законодательство в сфере обеспечения кибербезопасности отражает последние тенденции в сфере правового регулирования.

Информационная безопасность России всегда была важной частью национальной безопасности, законодатель оперативно реагировал на вызовы, возникающие в этой сфере. Однако в ФЗ-187 впервые была признана важность КИИ для государственной безопасности и определен институциональный механизм ее обеспечения. Соответственно, в Уголовный кодекс Российской Федерации была включена статья 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", установившая ответственность за посягательства на КИИ в форме неправомерного воздействия (часть первая указанной статьи); неправомерного доступа (часть вторая указанной статьи) и нарушении правил эксплуатации КИИ (часть третья указанной статьи). Судебная практика по указанной статье на момент завершения нашего исследования отсутствует, поэтому рано еще судить о совершенстве/несовершенстве российского правового механизма обеспечения кибербезопасности. Тем не менее эффективное обеспечение безопасности КИИ требует согласованности действий всех вовлеченных субъектов, гармонизации их правотворческой и правоприменительной деятельности. Относительная "новизна" такого объекта правовой охраны, как критическая информационная инфраструктура, требует пересмотра и критического осмысления полномочий субъектов, на которых возложена обязанность обеспечения ее безопасности, а также выработки предложений по совершенствованию их правового статуса. Массовые кибератаки 2017 года, повлекшие выход из строя КИИ в большинстве стран мира, вынуждают государства тратить больше средств на национальные системы обеспечения кибербезопасности, все чаще привлекать представителей частного сектора, в том числе команды CERT (компьютерные группы реагирования на чрезвычайные ситуации, создаваемые научно-техническими учреждениями и компаниями по обеспечению кибербезопасности), к сотрудничеству.

Существует объективная необходимость в обеспечении соответствия российского институционального механизма современным вызовам и требованиям эффективности, что вынуждает обращаться не только к наработкам международных специализированных учреждений (например, таких как Европейского агентства по сетевой и информационной безопасности - European Union Agency for Network and Information Security, далее - ENISA), но и опыту государств, преуспевающих в рассматриваемой сфере, в данном случае - Сингапура. Все вышесказанное свидетельствует об актуальности темы исследования.

КИИ является основной целью посягательств. Самые резонансные атаки последних лет пришлись на коммуникационные сети служб здравоохранения, транспорта, энергетики, охраны общественного порядка, финансовых и банковских систем. Эти секторы представляют критическую ценность для жизни и благополучия общества и государства в целом. Поэтому противодействовать таким посягательствам можно путем создания национальных (а также региональных и международных) механизмов, которые могли бы оптимально защитить КИИ при соблюдении основных гражданских прав [3]. По мнению экспертов, в целом ситуация с защитой КИИ на национальном уровне может быть признана удовлетворительной [4, с. 9]. Государства делегируют полномочия специальным органам кибербезопасности, ведомствам по чрезвычайным ситуациям или другим национальным регулирующим органам, отвечающим за выполнение оперативных задач. Некоторые из этих органов несут ответственность за выполнение дополнительных задач на стратегическом или политическом уровне: разработку национальных программных документов или нормативно-правовых актов, контроль над национальной группой реагирования на инциденты в области компьютерной безопасности и проч. Наделение субъектов механизма необходимыми полномочиями, разработка действенных инструментов и гармонизация их совместной деятельности является основной проблемой для законодателя.

Определим преимущества и недостатки институциональных механизмов обеспечения безопасности критических информационных инфраструктур Российской Федерации и Сингапура и сформулировать предложения по совершенствованию российского механизма. Задачи исследования заключаются в сравнении правового статуса субъектов этих механизмов, выделении отличающихся полномочий, и рассмотрении возможностей применения положительного опыта Сингапура.

С целью получения наиболее достоверных научных результатов будет использован ряд общенаучных (системно-структурный, формально-логический и герменевтический методы) и специальных юридических методов познания (сравнительно-правовой и формально-юридический методы).

Предмет исследования составляют основные нормативно-правовые акты в сфере регулирования деятельности субъектов обеспечения безопасности критических информационных инфраструктур Российской Федерации и Сингапура, а также международные стандарты в исследуемой сфере.

Выбранная нами для исследования тема мало представлена в российской научной литературе. В частности, особенности защиты КИИ рассматривались в работах А.Г. Козлова и Д.А. Потаповой [6]. Сравнительно большой массив научных работ посвящен нормотворческой и правоприменительной деятельности Федеральной службы по техническому и экспортному контролю [7; 8; 9; 10]. К сожалению, в открытом доступе практически отсутствуют работы, посвященные деятельности Федеральной службы безопасности Российской Федерации [11], что можно объяснить спецификой ее деятельности. В сравнительно-правовом аспекте механизм обеспечения безопасности КИИ был исследован В.О. Агеевым [12], а исследования правового механизма обеспечения кибербезопасности Сингапура в российской юридической науке практически отсутствуют [13].

В зарубежной научной литературе некоторые аспекты исследуемой темы являются предметом активных дискуссий. В частности, в институциональный механизм обеспечения безопасности КИИ предлагается включить представителей частного сектора, поскольку во многих государствах они привлекаются в качестве экспертов в области безопасности сетевых и информационных систем. В своей работе Б. Фарранд и Х. Каррапико констатируют факт изменения статуса (в том числе правового) представителей частного сектора - вплоть до участия в регулировании национальной информационной системы путем предоставления технической экспертизы [14]. Поэтому израильские исследователи обосновывают необходимость эволюции правительственных структур путем формирования единого гражданского ведомства с конкретными оперативными возможностями, отвечающего за защиту национального киберпространства и реализующего полномочия по обеспечению кибербезопасности [3]. Вышеизложенное позволяет судить о тенденции пересмотра базовых характеристик институционального механизма как обеспечения кибербезопасности в целом, так и КИИ в частности. На наш взгляд, имеющиеся научные наработки зарубежных исследователей имеют практическую ценность при совершенствовании российского механизма обеспечения информационной безопасности.

Прежде чем приступить к сравнению национальных институциональных механизмов обеспечения безопасности КИИ, необходимо охарактеризовать общий уровень обеспечения безопасности КИИ в каждом государстве.

Специалисты в сфере кибербезопасности определяют четыре таких уровня: 1) формальное определение транспортного и энергетического секторов как КИИ; 2) определение сектора информационно-коммуникационных технологий в качестве важнейшего объекта КИИ; 3) разработка общей методологической основы для идентификации объектов КИИ с наделением субъектов КИИ полномочиями; 4) разработка правовых инструментов идентификации и охраны/защиты КИИ [4, с. 6]. Особенность решения поставленной задачи усложняется тем, что однозначного определения КИИ ни в международном праве, ни в национальном праве зарубежных стран нет. Например, Европейская комиссия в своей Директиве 2008/114/ЕС определяет КИИ как систему информационно-коммуникационных технологий, которые являются важными инфраструктурами сами по себе или необходимы для функционирования критических инфраструктур (телекоммуникации, компьютеры, программное обеспечение, Интернет, спутники и т.д.) [15]. Многие государства определяют КИИ через перечень секторов, которые определяются как важные, необходимые для обеспечения безопасности общества и государственных структур. В качестве ориентира Европейская комиссия определила перечень из 11 важнейших секторов: энергетика, информационно-коммуникационные технологии, водоснабжение, продовольствие, здравоохранение, финансы, общественный порядок и безопасность, гражданская администрация, транспорт, химическая и ядерная промышленность, космос и исследования [16]. А государства - члены Евросоюза определили собственные секторы КИИ, исходя из своих особенностей: Австрия из предложенного Еврокомиссией списка исключила химическую и ядерную промышленность, Франция исключила химическую и ядерную промышленность, но включила промышленность как отдельный сектор; Италия и Греция исключили почти все секторы за исключением энергетики и транспорта; Великобритания исключила общественный порядок, химическую и ядерную промышленность, космос и исследования, но включила службы экстренной помощи [4, с. 5].

Российская Федерация. Вступивший первого января 2018 года в силу ФЗ-187 в статье 2 дает определение понятий "критическая информационная инфраструктура" (п. 6), "объекты критической информационной инфраструктуры" (п. 7) и "субъекты критической информационной инфраструктуры" (п. 8). КИИ определяется как "объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов". В свою очередь, объекты КИИ определяются как "информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры", а субъектами КИИ выступают "государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей" (ст. 2 ФЗ-187). Как мы видим, четко определены как секторы КИИ, так и субъекты КИИ. Более того, ФЗ-187 устанавливает критерии категорирования КИИ: это социальная, политическая, экономическая, экологическая значимость, а также значимость для "обеспечения обороны страны, безопасности государства и правопорядка" (ч. 2 ст. 7), а порядок категорирования объектов КИИ и показатели критериев их значимости устанавливаются соответствующим Постановлением Правительства России [17].

Однако в ФЗ-187 и связанных подзаконных актах отсутствует положение по отнесению организации к субъектам КИИ: каким образом и на каких основаниях будет происходить такая процедура. На этот пробел указывают и эксперты в сфере информационной безопасности [18]. В такой ситуации или организации должны проявить инициативу и самостоятельно провести идентификацию своих информационных сетей как КИИ с последующим категорированием объектов КИИ и уведомлением уполномоченного федерального органа, или уполномоченный федеральный орган должен издать соответствующее предписание в отношении определенных информационных сетей и организаций. Такая неопределенность замедляет идентификацию КИИ и, соответственно, эффективность обеспечения ее безопасности.

Сингапур. В законодательстве этого государства определение понятия КИИ происходило в несколько этапов. Вначале в Стратегии национальной кибербезопасности 2016 года (National Cybersecurity Strategy 2016) был указан список секторов КИИ: услуги (государственные и аварийные службы, здравоохранение, средства массовой информации, банковские и финансовые услуги), коммунальные службы (энергетика, вода и телекоммуникации) и транспорт (наземный транспорт, морской и портовый, гражданский авиация) [19]. Затем Акт о кибербезопасности 2018 года определил секторы КИИ в рамках термина "существенные службы" (essential services), который означает любые службы, необходимые для национальной безопасности, обороны, внешних отношений, экономики, общественного здравоохранения, общественной безопасности или общественного порядка (section 2). Все эти службы перечислены в Перечне 1 к CSA (всего 46 в списке): они имеют отношение к энергетике, инфокоммуникациям, водоснабжению, здравоохранению, банковскому и финансовому обеспечению, безопасности и экстренной помощи, авиации, наземному транспорту, морскому транспорту, средствам массовой информации и услугам, связанным с функционированием правительства [2].

CSA содержит четкое терминологическое определение КИИ как "компьютера или компьютерной системы, которые полностью или частично находятся в Сингапуре, необходимы для непрерывного функционирования существенных служб, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы" (раздел 2, раздел 7 (1)). Кроме того, раздел 7 CSA устанавливает процедуру идентификации информационных сетей как КИИ: уполномоченный орган издает предписание (notice), содержащее юридически обязательное требование конкретному субъекту об отнесении его "компьютера или компьютерной системы" к КИИ. Основаниями для идентификации КИИ выступают следующие: (a) компьютер или компьютерная система являются необходимыми для постоянного обслуживания существенной службы, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы; (b) компьютер или компьютерная система полностью или частично расположены на территории Сингапура. Изданное в соответствии с требованиями раздела 7(1) CSA предписание (notice) должно содержать следующую информацию (раздел 7(2)): (a) описание компьютера или компьютерной системы, которые идентифицируются как КИИ; (b) данные о субъекте компьютера или компьютерной системы, которые идентифицируются как КИИ; (c) права и обязанности субъекта КИИ в соответствии с CSA; (d) данные о должностном лице уполномоченного органа, ответственном за КИИ; (e) уведомление субъекта КИИ о сроках предоставления возражений против этого предписания в уполномоченный орган; (f) информация о порядке обжалования данного предписания в Министерстве коммуникации и информации Сингапура.

Вышеизложенное позволяет сделать первый промежуточный вывод: как Российская Федерация, так и Сингапур осуществляют обеспечение безопасности КИИ на четвертом, самом высоком уровне (в соответствии с методикой ENISA), однако, неодинаковом. Несмотря на то что оба государства определили КИИ как объект правовой охраны, российское законодательство пока что не содержит предписаний о процедуре идентификации информационных сетей как КИИ и организаций как субъектов КИИ.

Перейдем к непосредственной характеристике институциональных механизмов.

Российская Федерация. Упомянутый ФЗ-187 устанавливает следующий институциональный механизм обеспечения безопасности КИИ: помимо органов государственной власти, осуществляющих общие меры по безопасности КИИ (ст. 6), предусматривается функционирование специальной государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ст. 5). Рассмотрим правовой статус этих субъектов подробнее.

Президент Российской Федерации определяет основные направления государственной политики и органы специальной компетенции, ответственные за обеспечение безопасности КИИ (ч. 1 ст. 6).

Правительство Российской Федерации определяет механизм категорирования объектов КИИ, особенности осуществления государственного контроля в рассматриваемой сфере и порядок подготовки и использования ресурсов единой сети электросвязи государства для обеспечения функционирования значимых объектов КИИ (ч. 2 ст. 6).

В соответствии с Указом Президента от 25 ноября 2017 года N 569 в качестве федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ, назначена Федеральная служба по техническому и экспортному контролю (далее - ФСТЭК), действующая на основании соответствующего положения [20]. В отношении безопасности КИИ ФСТЭК наделена следующими полномочиями: 1) внесение предложений о совершенствовании нормативно-правового регулирования; 2) утверждение порядка и ведение реестра значимых объектов КИИ; 3) утверждение формы направления сведений о результатах категоризации объектов КИИ; 4) установление требований по обеспечению безопасности значимых объектов КИИ и к созданию систем безопасности таких объектов; 5) осуществление государственного контроля в рассматриваемой сфере (ч. 3 ст. 6).

В качестве федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, назначена Федеральная служба безопасности (далее - ФСБ) [21]. Ее полномочия включают: 1) внесение предложений о совершенствовании нормативно-правового регулирования; 2) правовое регулирование деятельности Национального координационного центра по компьютерным инцидентам и координация действий субъектов КИИ (оценка безопасности КИИ, предоставление и обмен информацией о компьютерных инцидентах, использование средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты) (ч. 4 ст. 6).

Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи - Министерство цифрового развития, связи и массовых коммуникаций по согласованию с ФСБ утверждает порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (ч. 5 ст. 6).

Особую роль в механизме обеспечения играет специальная государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, выполняющая функции защиты КИИ. Она включает в себя подразделения и должностные лица ФСБ, представителей субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты, а также созданный Федеральной службой безопасности России Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ), действующий на основе соответствующего положения [22]. Его основной задачей является обеспечение координации деятельности субъектов КИИ в указанной сфере (п. 3). Для ее выполнения НКЦКИ осуществляет сбор, накопление, систематизацию и анализ информации, поступающей от субъектов КИИ и ФСТЭК, а также организует и осуществляет обмен этой информацией как между российскими субъектами КИИ, так и между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями (п. 4.2).

Сингапур. В Стратегии кибербезопасности от 2016 года выделены четыре основных направления обеспечения безопасности КИИ: (i) построение устойчивой инфраструктуры для усиления КИИ путем тесного сотрудничества частного сектора и представителей публичного сектора, уполномоченных на обеспечение кибербезопасности; (ii) создание безопасного киберпространства путем привлечения не только правительственных субъектов, но и гражданского общества и предпринимателей; (iii) развитие динамичной экосистемы кибербезопасности за счет увеличения количества специалистов в результате сотрудничества частного сектора и образовательных заведений; (iv) усиление международного сотрудничества, особенно в рамках АСЕАН [19].

В соответствии с CSA основным субъектом институционального механизма обеспечения безопасности КИИ Сингапура является Агентство кибербезопасности (Cyber Security Agency of Singapore), которое возглавляет директор и по совместительству - Комиссар кибербезопасности (Commissioner on Cybersecurity, далее - Комиссар) в правительстве Сингапура. На должность директора и Комиссара назначается заместитель министра обороны по технологиям. Для выполнения возложенных на него полномочий Комиссар по согласованию с Министром коммуникаций и связи формирует штат Агентства кибербезопасности, в который могут быть включены (a) служащие других министерств; (b) служащие организаций; (c) служащие полиции в соответствии с Актом о полицейских силах Сингапура (Police Force Act) (секция 6). Как было указано выше, обжалование действий и решений Комиссара возможно в Министерстве коммуникаций и связи непосредственно Министру.

Секция 5 CSA устанавливает следующие полномочия Комиссара: (a) осуществление общего надзора за безопасностью КИИ; (b) консультирование правительства или других государственных органов по вопросам кибербезопасности; (c) мониторинг киберугроз независимо от места их возникновения; (d) оперативное реагирование на киберинциденты, угрожающие национальной безопасности, обороне, экономике, внешним связям, общественному здравоохранению, общественному порядку или общественной безопасности или любым основным службам Сингапура независимо от места их возникновения; (e) осуществление контроля над субъектами КИИ в отношении кибербезопасности; (f) разработка кодексов практики и стандартов обеспечения кибербезопасности субъектами КИИ; (g) представление правительства на международном уровне по вопросам кибербезопасности; (h) сотрудничество с командами CERT других стран; (i) развитие и продвижение отрасли услуг кибербезопасности в Сингапуре; (j) лицензирование и установление стандартов в отношении поставщиков услуг кибербезопасности; (k) установление стандартов в отношении продуктов или услуг кибербезопасности, а также установление граничного уровня безопасности для компьютерного оборудования или программного обеспечения, включая схемы сертификации или аккредитации; (l) поощрение, развитие, поддержка, улучшение компетенций и профессиональных стандартов лиц, занятых в сфере кибербезопасности; (m) поддержание развития технологий, исследований и разработок в этой сфере; (n) содействие повышению осведомленности о необходимости и важности кибербезопасности в Сингапуре; (o) выполнение иных обязанностей, которые могут быть возложены на Комиссара в соответствии с любым другим законом.

Комиссар также уполномочен издавать предписания (notice), которые могут касаться: (a) действий, предпринимаемых субъектами КИИ в связи с угрозой кибербезопасности; (b) соблюдения субъектами КИИ любого кодекса практики или стандарта; (c) назначения аудитора для проверки субъектов КИИ на предмет соблюдения ими требований CSA или любого кодекса практики или стандарта; (d) любых других вопросов, которые он сочтет необходимыми или целесообразными для обеспечения кибербезопасности КИИ (секция 12).

Раздел 4 CSA устанавливает полномочия Комиссара по предотвращению и реагированию на киберугрозы и киберинциденты. В частности, речь идет о полномочиях: 1) по расследованию и предотвращению киберинцидентов (секция 19) и серьезных киберинцидентов (секция 20); 2) назначению технических экспертов по кибербезопасности (секция 22); 3) принятию мер и требований в случае чрезвычайной ситуации (секция 23). Секция 23, помимо прочего, устанавливает уголовную ответственность субъектов КИИ и иных лиц за невыполнение таких мер и требований (в форме штрафа и (или) лишения свободы).

Функция контроля выполняется путем использования Агентством кибербезопасности Сингапура инструмента аудита - каждый год с даты идентификации объектов КИИ назначенные Комиссаром аудиторы осуществляют оценку рисков КИИ, а каждые два года - проверку соответствия КИИ требованиям CSA и применимым кодексам практики и стандартам (секция 15). Копию отчета аудитора субъект КИИ должен направить Комиссару в течение 30 дней после завершения аудита. В случае отказа субъекта КИИ от прохождения аудита предусмотрена уголовная ответственность в виде штрафа до 100 тыс. долл. США и/или лишения свободы на срок до 2 лет, а в случае продолжающегося преступления дополнительно назначается штраф, не превышающий 5 тыс. долл. США за каждый день (или часть дня), в течение которого правонарушение продолжается после предъявления обвинения.

Заслуживает внимания такое полномочие Комиссара, как проведение обязательных учений с целью проверки состояния готовности субъектов КИИ к киберинцидентам. В специальном предписании (notice) Комиссар указывает субъектов КИИ, которые обязаны принять участие в предстоящих учениях. В случае уклонения предусмотрена ответственность в виде штрафа до 100 тыс. долл. США (секция 16).

Вышесказанное позволяет сделать второй промежуточный вывод об особенностях институциональных механизмов обеспечения безопасности КИИ. Российский механизм представлен рядом органов государственной власти общей и специальной компетенции. Президент и Правительство Российской Федерации осуществляют общую координацию деятельности органов специальной компетенции - ФСБ, ФСТЭК и НКЦКИ. ФСБ осуществляет правовое регулирование деятельности НКЦКИ, координирующего деятельность субъектов КИИ путем сбора, накопления, систематизации и анализа информации, поступающей от них и ФСТЭК. В свою очередь, ФСТЭК ведет реестр значимых объектов КИИ и устанавливает требования по обеспечению их безопасности, а также осуществляет государственный контроль в рассматриваемой сфере. Преимуществом российского механизма является активное участие ФСБ - службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки.

В Сингапуре институциональный механизм обеспечения безопасности КИИ представлен органом специальной компетенции - Агентством кибербезопасности Сингапура, обладающим широкими полномочиями. Однако, в отличие от России, представители правоохранительных органов должны специально привлекаться (назначаться) Комиссаром для выполнения определенных функций, например, по расследованию преступлений.

Оба государства привлекают представителей частного сектора к участию работе субъектов институционального механизма (представители секторов КИИ в работе НКЦКИ России и представители организаций, независимые аудиторы в работе Агентства кибербезопасности Сингапура).

Заслуживают внимания такие меры по обеспечению безопасности КИИ, как проведение аудиторских проверок и учений для субъектов КИИ. Предложенный Сингапуром инструмент аудита может быть применен и в России, но с учетом соотношения его с инструментом государственного контроля. В Сингапуре государственный контроль в рассматриваемой сфере осуществляется опосредованно - через аудиторов, и отчет в Агентство кибербезопасности направляется не самим аудитором, а субъектом КИИ. Интересен и опыт проведения учений для субъектов КИИ - эти учения носят не всеохватывающий характер, а избирательный - для определенных объектов и субъектов КИИ, готовых/неготовых к кибератакам разного уровня и интенсивности. Так, достигается эффективность применения мер безопасности по отношению к разным секторам КИИ. На наш взгляд, эти особенности сингапурского механизма представляют интерес для дальнейшего изучения и внедрения в России.

Подводя итоги нашего исследования, считаем важным отметить следующее. Как в России, так и в Сингапуре законы, устанавливающие институциональный механизм обеспечения безопасности КИИ, действуют всего лишь первый год. Однако с точки зрения международных стандартов уровень этих законов и, соответственно, обеспечения безопасности КИИ в обоих государствах достаточно высок. Недостатком российского законодательства является отсутствие правового регулирования процедуры идентификации информационных сетей как объектов и организаций как субъектов КИИ. Особенностью российского механизма является множественность субъектов, обеспечивающих безопасность КИИ, в отличие от сингапурского, представленного одним ведомством. Преимуществом российского механизма является участие службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки (ФСБ). Мы склоняемся к мнению о необходимости дальнейшего изучения и, возможно, закрепления в российском законодательстве таких инструментов обеспечения безопасности КИИ, разработанных в Сингапуре, как учения и аудит субъектов КИИ.