Следующее государство, для которого мы проведём анализ законодательства в области информационной безопасности (далее — ИБ), — Азербайджанская Республика.

 

ОБЩИЕ СВЕДЕНИЯ

Официальное название государства — Азербайджанская Республика (далее — АР). Находится в восточной части Закавказья (Южного Кавказа) на побережье Каспийского моря, относится к Передней Азии, а также, по мнению некоторых источников, частично к Восточной Европе. Омывается водами Каспийского моря. Имеет сухопутную границу с Россией, Грузией, Арменией и Ираном. Нахичеванская Автономная Республика — эксклав Азербайджана — граничит с Арменией на северо-востоке, Ираном на юго-западе, Турцией на северо-западе.

Столица — город Баку. Государственный язык — азербайджанский.

Армения является членом ООН, ОБСЕ, Совета Европы, СНГ, ГУАМ, ОЭС, СНГ, Движения неприсоединения, Организации черноморского экономического сотрудничества, Организации исламского сотрудничества.

Органы, утверждающие и согласовывающие законы и подзаконные акты в области ИБ в стране: Президент Азербайджанской Республики, Центробанк Азербайджана.

Все рассмотренные в данной публикации документы имеют общереспубликанское значение и применяются для организации и обеспечения информационной
и кибербезопасности.

Государственная политика АР в сфере информационной безопасности и кибербезопасности регулируется следующими нормативными актами и развивается по направлениям, представленным в статье.

 

БАЗОВЫЕ АКТЫ

Базовыми актами, закрепляющими общие положения о доступе к информации, конфиденциальности и защите информации, являются следующие законы:

Закон АР от 3 апреля 1998 г. №460-IQ «Об информации, информатизации и защите информации»

Закон регулирует отношения, возникающие в связи с формированием информационных резервов на основе создания, сбора, переработки, хранения, поиска, распространения информации, с созданием и использованием информационных систем, технологий, средств их обеспечения, защитой информации, и определяет права субъектов, участвующих в информационных процессах.

Закон вводит основные понятия, связанные с информацией, её обработкой и защитой. В частности, закон вводит понятие «конфиденциальной информации» как «сведения, получение которых ограничено в целях защиты законных интересов граждан, созданных независимо от формы собственности учреждений, предприятий и организаций, других юридических лиц, а также профессиональная (врачебная, адвокатская, нотариальная), коммерческая, следственная и судебная тайна». В российском законодательстве понятие «конфиденциальная информация» определяется в Федеральном законе № 149-ФЗ «Об информации, информатизации и защите информации» более широко и включает в себя также государственную тайну. 

 

Закон АР от 11 мая 2010 г. № 998-IIIQ «О персональных данных»

Закон регулирует отношения, связанные со сбором, обработкой и защитой персональных данных, формирование раздела персональных данных в национальном информационном пространстве, а также вопросы, связанные с трансграничной передачей персональных данных, устанавливает права и обязанности действующих в данной сфере государственных органов и органов местного самоуправления, физических и юридических лиц.

Закон определяет законодательные основы и общие принципы сбора, обработки и защиты персональных данных, правила и требования государственного регулирования в данной сфере, правила формирования персональных данных в информационных ресурсах, создания информационных систем, предоставления и передачи информации, права, обязанности и основы ответственности участвующих в данном процессе лиц, защите основных прав и свобод человека и гражданина, в том числе права на сохранение тайны личной и семейной жизни.

Специфичным для Закона о персональных данных АР является наличие понятия «информационные ресурсы персональных данных», определяемого как информационные ресурсы, накопленные в установленном законодательством порядке и объёме в информационных системах персональных данных, а также в отдельности. В российском законодательстве понятие «ресурс персональных данных» определено только в документах комплекса стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

Также специфичным для Закона АР является понятие «индивидуальный идентификационный номер» — единый неповторимый код, присваиваемый в установленном порядке лицу, персональные данные о котором вносятся в информационные системы персональных данных, и позволяющий однозначно установить соответствующие сведения о лице.

Законом вводится понятие «персональные данные особой категории» как сведения, относящиеся к расовой или национальной принадлежности, семейной жизни, религиозному вероисповеданию и убеждениям, здоровью или судимости. Что схоже с российским понятием «специальная категория персональных данных».

Кроме понятия «оператор персональных данных», имеются понятия «собственник персональных данных» и «пользователь персональных данных», что расширяет круг участников процессов обработки персональных данных.

Понятие «обезличивание персональных данных» в Законе АР отличается от российского, определено как «приведение персональных данных в состояние, при котором невозможно определить их принадлежность субъекту», и фактически включает в себя и российский вариант обезличивания (фактически обратимый процесс), и процедуры анонимизации персональных данных, которые де-юре пока не определены в российском законодательстве.

В зависимости от вида доступа (получения) персональные данные в АР делятся на несколько категорий и подлежат различной защите.

1. Конфиденциальные персональные данные, за исключением установленных законом случаев, могут быть переданы третьим лицам только на основании согласия субъекта.
2. Обеспечение конфиденциальности персональных данных общедоступной категории не требуется. Общедоступные персональные данные — данные о субъекте, обезличенные в установленном порядке, открытые им самим либо внесённые с его согласия в информационные системы, созданные для общего пользования. Фамилия, имя и отчество лица относятся к постоянно общедоступным персональным данным.
3. Сведения специальной категории могут относиться как к категории конфиденциальных, так и к категории общедоступных персональных данных с учётом их особенностей и требований Закона о персональных данных.

Собственник или оператор должны осуществлять организационно-технические мероприятия, гарантирующие обеспечение защиты персональных данных (в том числе предотвращения их случайного и несанкционированного уничтожения, утраты, незаконного доступа, изменения и других случаев).

Биометрические персональные данные — это данные, характеризующие биологические особенности человеческого организма и позволяющие однозначно его определить: отпечатки пальцев и ладоней, изображение лица, сетчатка и радужная оболочка глаза, фрагменты голоса и его акустические параметры, результаты анализа дезоксирибонуклеиновой кислоты (ДНК), размеры тела, описание особых признаков и недостатков тела, почерк и подпись и другие.

Интересной является норма, определяющая право субъекта возражать против сбора и обработки персональных данных о нём, за исключением случаев, когда сбор и обработка данных носят принудительный характер в установленном законодательством порядке. Возражение субъекта должно быть представлено собственнику или оператору в письменном виде. Обоснование возражения субъекта не требуется. При получении данного возражения собственник или оператор должны незамедлительно прекратить сбор и обработку персональных данных. Как видим, Закон АР определяет также возможность принудительного сбора и обработки персональных данных в установленном законодательством Азербайджанской Республики порядке.

При сборе персональных данных собственник или оператор персональных данных обязан сообщить субъекту уровень защиты собираемых и обрабатываемых персональных данных в информационной системе, а также сведения о наличии сертификата соответствия на информационные системы и о прохождении ими государственной экспертизы. В российском законодательстве аналогичные нормы отсутствуют.

Президент АР 28 августа 2023 г. утвердил «Стратегии информационной и кибербезопасности Азербайджанской Республики на 2023–2027 годы». Документ является первой стратегией в Азербайджанской Республике в области информационной безопасности и кибербезопасности, стратегия в этой области определяет основные цели, принципы, направления и приоритетные задачи деятельности в стране, меры, связанные с повышением уровня национальной информационной безопасности, обеспечению безопасности критической инфраструктуры государственных и частных секторов. Стратегия предполагает формирование и ведение реестра рисков информационной безопасности и кибербезопасности, мониторинг событий информационной безопасности, определение и применение критериев обнаружения инцидентов и критических ситуаций, расширение областей применения искусственного интеллекта, усиление персональной защиты.

 

ТАЙНЫ

Тайны, определённые законодательством РА:

Закон АР от 16 января 2004 г. №590-IIQ «О банках» вводит «В соответствии с Гражданским кодексом Азербайджанской Республики банк обеспечивает тайну банковского счёта, операций и остатков по счетам, а также сведений о клиентах, в том числе сведений об именах клиентов, адресах, руководителях. Банк обеспечивает тайну сведений о наличии имущества клиентов в хранилище банка, сведений о владельцах такого имущества, характере и стоимости».

При анализе закона следует обратить внимание на ряд важных моментов. Из контекста данной статьи следует, что нормы Гражданского кодекса Азербайджана, регулирующие отношения в сфере банковской тайны, имеют приоритет над нормами Закона Азербайджанской Республики от 16 января 2004 г. № 590-IIQ «О банках», что делает последние вторичными по юридической силе.

Закон АР от 4 декабря 2001 г. №224-IIГ «О коммерческой тайне» вводит, что «коммерческая тайна — это сведения, связанные с производственной, технологической, управленческой, финансовой и другой деятельностью юридических и физических лиц, разглашение которых без согласия владельца может причинить ущерб их законным интересам» и «ноу-хау — сведения, отнесённые как результат умственной деятельности к коммерческой тайне, не охраняемые патентом согласно законодательству или по соображениям владельца».

 

РАСПОРЯЖЕНИЯ И ПОСТАНОВЛЕНИЯ

Распоряжением Президента Азербайджанской Республики от 26 сентября 2018 года №508 был разработан и утверждён «План действий по внедрению международного стандарта ISO20022 в инфраструктуру Национальной платёжной системы Азербайджанской Республики».

 

Постановление Правления Центрального банка Азербайджанской Республики от 14 июля 2021 года № 20/1 «Об утверждении «Порядка управления информационной безопасностью в банках»

Документ, устанавливающий минимальные требования по информационной безопасности в банках страны с учётом требований стандартов ISO/IEC 2700X Международной организации по стандартизации, утверждён решением Правления Центрального банка и внесён в Государственный реестр правовых актов Азербайджана.

Новые правила содержат в себе механизмы безопасности человеческих ресурсов, управления активами, контроля доступа, криптографии, безопасности обмена информацией, обеспечения безопасности при приобретении, применении и поддержке информационных систем, защиты информационной безопасности в сервисных отношениях с внешними поставщиками, а также требования к управлению инцидентами информационной безопасности.

 

Постановление Правления Центрального Банка Азербайджанской Республики от 28 марта 2024 года № 14/2 «Об утверждении "Требований к обеспечению информационной безопасности субъектов, деятельность которых контролируется на финансовых рынках"»

Данное постановление определяет минимальные требования к информационной безопасности в банках, небанковских кредитных организациях, за исключением кредитных союзов, страховщиках, лицензируемых лицах на рынке ценных бумаг, управляющих акционерными инвестиционными фондами и инвестиционными фондами, национальном операторе почтовой связи, платёжных организациях, организациях электронных денег, операторах платёжных систем, кредитных бюро, центральном депозитарии.

Надеемся, что данная статья поможет вам не заблудиться в Законодательстве АР. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ.

В следующем номере журнала мы продолжим обзор законодательства в области информационной безопасности других стран.