31.07.2025 09:54
RRakhmetov 0 251 Источник

Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – первая часть обзора Главы 3 CyBOK, в которой даются вводные принципы законодательства и юридических исследований.

Руслан Рахметов, Security Vision

Предыдущие главы и части:

Глава 1

Глава 2 часть 1, часть 2

3.1. Вводные принципы законодательства и юридических исследований

Авторы книги указывают, что для многих технических специалистов законодательные подходы и нормы являются неизвестными. Поэтому в вводной части даётся краткое описание применимых основ юриспруденции. Добавим, что в данной главе авторы рассматривают законодательство, применимое по большей части к зарубежным юрисдикциям. Однако российским читателям, вероятно, будет интересно с ними ознакомиться, например, в рамках подготовки к выводу отечественных экспортоориентированных решений и услуг на зарубежные рынки.

3.1.1. Природа законодательства и правового анализа

По аналогии с точными науками, законодательство должно подчиняться строгим логическим правилам и должно предсказывать последствия различных событий. Однако, юриспруденция не исследует фундаментальные законы природы, но связана с социальными и политическими ценностями и человеческим поведением. Законодательство формируется законодательной властью, обеспечивается исполнительной властью и контролируется судебной властью, а также непрерывно изменяется вслед за развитием цивилизации, социумов и технологий. Правовые системы делятся на:

  1. Прецедентное право (англ. Common Law), англо-американская правовая семья: применяется в англоговорящих странах, доминирующим источником права является судебный прецедент;

  2. Непрецендентное (континентальное) право (англ. Civil Law), романо-германская правовая семья: применяется в большинстве европейских стран, доминирующим источником права является нормативный акт;

  3. Религиозное право (Фихк и Шариат в мусульманском мире, каноническое и церковное право в христианстве, Галаха в иудаизме, индуистское, буддийское, синтоистское право и т.д.): основывается на религиозных догмах и решениях духовенства, нормы действуют только на представителей конкретной религиозной группы;

  4. Социалистическое право: применяется в социалистических странах (КНР, КНДР, Вьетнам, Куба);

  5. Смешанные (гибридные) правовые системы: состоят из различных комбинаций других типов права.

Важным аспектом применения законодательных норм является понимание их применимости и приоритета. Так, в Российской Федерации иерархия законов следующая:

  1. Конституция РФ;

  2. Федеральные Конституционные Законы (ФКЗ);

  3. Федеральные Кодифицированные Законы (Кодексы). Например, КоАП РФ, ГК РФ, ТК РФ и т.д.;

  4. Федеральные Законы. Например, 149-ФЗ, 152-ФЗ, 187-ФЗ и т.д.;

  5. Подзаконные акты: Указы Президента РФ, Постановления Правительства РФ, нормативные акты ФОИВ, нормативные правовые акты субъектов РФ.

В Европейском Союзе действуют нормы первичного права (договоры ЕС, обладают высшей юридической силой) и вторичного права (специфические регламенты, директивы, рекомендации, издаваемые ведомствами и Институтами ЕС для регулирования конкретных вопросов). Иерархия нормативных актов в ЕС следующая:

  1. Директивы (англ. Directive) — внедряются в каждой из стран-участниц ЕС с соблюдением положений национального законодательства;

  2. Регламенты (англ. Regulation) — обязательные для немедленного исполнения всеми членами ЕС требования.

Важным элементом межгосударственного взаимодействия являются международные договоры. Так, в некоторых странах положения заключенного между государствами соглашения вступают в силу сразу же, а в некоторых сначала происходит изменение национального законодательства, а затем уже подписывается международный договор. В соответствии с положениями Статьи 5 Федерального Закона «О международных договорах Российской Федерации», если международным договором РФ установлены иные правила, чем предусмотренные законом, то применяются правила международного договора, при этом решения межгосударственных органов, принятые на основании положений международных договоров РФ в их истолковании, противоречащем Конституции РФ, не подлежат исполнению в РФ.

3.1.2. Применение законодательства в киберпространстве и к информационным технологиям

С развитием информационных технологий мнения юристов относительно нормативного регулирования в киберпространстве разделились: одни считали, что интернет — это кардинально новое явление, к которому неприменимы прежние нормы, а другие, напротив, рассматривали киберпространство как созданную человечеством виртуальную реальность, действия субъектов в которой аналогичны их поведению в реальном мире и должны расцениваться сходным образом. Со временем мнение второй группы стало превалировать, и сейчас действия людей в киберпространстве расцениваются в соответствии с правовыми нормами, применимыми к физическому миру. С развитием технологий искусственного интеллекта возникла аналогичная дилемма, которая также была решена сходным образом: система ИИ не может считаться самостоятельной сущностью и всю ответственность за последствия её работы должен нести разработчик.

3.1.3. Отличия между уголовным и гражданским правом

3.1.3.1. Уголовное право

Уголовное право требуется для противодействия противоправному поведению и предназначено для:

  1. Сдерживания (deterrence) — удержания членов социума от противоправного поведения;

  2. Обеспечения недееспособности (incapacitation) — ограничение возможностей преступников для нанесения дальнейшего вреда обществу;

  3. Возмездие (retribution) — взыскание с преступника расплаты за совершенное правонарушение;

  4. Реституция (воздаяние, restitution) — возмещение преступником ущерба, причиненного жертве;

  5. Реабилитация (исправление, rehabilitation) — формирование у преступника законопослушного поведения в долгосрочной перспективе.

При этом термины «преступление», «виновен», «невиновен», также как и «расследование», «подозреваемый», «обвиняемый», «допрос», используются в рамках уголовных процессов и работы правоохранительных органов, поэтому не должны использоваться при рассмотрении гражданских дел и при проведении внутрикорпоративных проверок по фактам различных инцидентов физической и информационной безопасности. Мерами наказания в различных государствах могут являться лишение свободы, штрафы, арест и конфискация имущества и орудий совершения преступления, штрафы и возмещение ущерба жертвам. В соответствии со Статьей 44 УК РФ, видами наказаний являются штраф, лишение права занимать должность, лишение звания и госнаград, обязательные, исправительные или принудительные работы, арест, ограничение или лишение свободы.

В большинстве юрисдикций действует презумпция невиновности (лицо считается не виновным, пока не доказано обратное), но в некоторых странах действует и презумпция вины (лицо считается виновным, пока не доказано обратное). Кроме того, в большинстве стран действует и общий принцип «незнание законов не освобождает от ответственности», а отсутствие криминальных намерений или осознания последствий также не является оправданием. Также в большинстве стран действует правило о том, что по умолчанию законы не имеют обратной силы (отсутствует ответственность за деяние, которое в момент его совершения не признавалось правонарушением). Однако, для некоторых законов устанавливаются исключения из этого правила, а некоторые правонарушения считаются длящимися. Например, когда информация в интернете была опубликована до момента признания её запрещенной и на этот момент всё ещё была доступна. 

3.1.3.2. Гражданское право

Гражданское право регулирует имущественные и неимущественные отношения между организациями и гражданами. Средствами правовой защиты являются денежная компенсация вреда, требование о прекращении правовых отношений между сторонами, требование о прекращении ведения противоправной деятельности ответственной стороной, требование ответственной стороне предпринять определенные позитивные/компенсирующие действия (например, передать права собственности на недвижимость). Принципы гражданского права разрабатываются и применяются в том числе для компенсации негативных внешних эффектов небрежного отношения к кибербезопасности информационных продуктов и услуг в современной экономике, что должно привести к более осознанному отношению ответственных лиц.

 

3.1.3.3. Одно правонарушение — два типа наказания и два суда

Одно вредоносное действие или серия таких связанных действий могут повлечь ответственность как по уголовному, так и по гражданскому праву. Например, если Алиса взломала компьютер Боба и это привело к выходу из строя всей его домашней локальной сети, то такое деяние подпадает под оба типа ответственности: государство будет судить Алису в соответствии с уголовным правом за несанкционированный доступ к личному устройству Боба, а Боб может подать гражданский иск о компенсации нанесенного ему вреда. В этом случае дело Алисы будут рассматривать два суда и использовать две различных процедуры доказывания её вины, а целями преследования будут защита интересов всего общества от неправомерного поведения Алисы и денежная компенсация Бобу за причиненный ему ущерб.

3.1.4. Природа свидетельств и доказательной базы

Понятие доказательства в юриспруденции отличается от смысла, которое закладывается в него математикой или логикой. В юриспруденции «доказать» что-либо означает, что нужно использовать допустимые свидетельства для того, чтобы показать истинность спорных событий с определенной степенью достоверности. Допустимые свидетельства могут принимать различные формы в зависимости от различных правовых систем: прямые свидетельские показания, деловая документация и переписка, записи с камер видеонаблюдения, записи перехваченных телефонных переговоров, логи серверов и т.д. В общем случае правовой анализ спора состоит из двух элементов: суд (следователь, судья, присяжные, регулятор) сначала должен рассмотреть конкурирующие версии событий и сформировать фактологическую часть (выводы), которая затем подвергается анализу в соответствии с применимым законодательством. Лицо, подающее исковое заявление, несет бремя доказывания в отношении элементов, определяющих его право на иск. А затем обвиняемый несет бремя доказывания утвердительной защиты. Она заключается в предоставлении обвиняемым совокупности фактов, которые отличаются от утверждений обвинителя. Поэтому в случае их принятия они могут способствовать уменьшению или полному исключению ответственности обвиняемого.

Применимый стандарт доказательства, т.е. степень уверенности, которая должна быть достигнута судом для вынесения решения, зависит от рассматриваемого вопроса. Неисчерпывающий перечень различных стандартов доказательства, используемых в различных правовых контекстах в мировой практике, приведен ниже:

  1. Вне разумных сомнений (англ. beyond a reasonable doubt): неопровержимые доказательства, при которых не существует никаких других разумных объяснений для понимания свидетельств;

  2. Ясные и убедительные доказательства: достаточно высокая уверенность в доказательствах;

  3. Преобладание доказательств, баланс вероятностей: уверенность в доказательствах выше 50%;

  4. Достаточное основание (вероятная причина): пока не окончательные доказательства говорят о том, что объект расследования совершил преступление. Данный стандарт доказательства используется при обосновании получения ордера на обыск (постановление следователя о производстве обыска или выемки документов и носителей информации) или ордера на арест;

  5. Обоснованное подозрение: обоснование для проверки документов полицией, обоснование для мониторинга интернет-коммуникаций. 

3.1.5. Более целостный подход к анализу правовых рисков

Анализ правовых рисков должен основываться не только на применении законодательных норм на основе установленных правил, следует учитывать и ряд других факторов. Например, если Алиса имеет возможность начать судебную тяжбу с Бобом, то стоимостная оценка правового риска Боба в случае, если Алиса начнет и выиграет этот судебный процесс, будет зависеть от:

  1. Возможностей Алисы по доказыванию ответственности Боба с использованием допустимых доказательств, с поправкой на возможности Боба по опровержению таких доказательств;

  2. Возможностей Боба по доказыванию утвердительной защиты с использованием допустимых доказательств, которая может уменьшить или полностью исключить ответственность Боба, с поправкой на возможности Алисы по опровержению таких доказательств;

  3. Совокупной стоимости затрат (издержек) Боба в случае, если Алиса выиграет дело;

  4. Ряда дополнительных факторов, таких как желание и возможности Алисы по ведению судебного процесса с Бобом, желание и возможности Боба защищаться, возможности Алисы по обеспечению мер принудительного исполнения в отношении Боба и его активов, а также судебных расходов, связанных с затратами (издержками) на рассмотрение дела и его юридическое сопровождение.

Комментарии (0)