ОБЩИЕ СВЕДЕНИЯ

Республика Узбекистан — государство, расположенное в центральной части Средней Азии. Сопредельные государства: на востоке — Кыргызстан; на северо-востоке, севере и северо-западе — Казахстан; на юго-западе и юге — Туркменистан; на юге — Афганистан, на юго-востоке — Таджикистан.

Столица — город Ташкент. Государственный язык на всей территории страны — узбекский, в Республике Каракалпакстан (наряду с узбекским) установлен свой государственный язык — каракалпакский.

Узбекистан является членом ООН, СНГ, Шанхайской организации сотрудничества, Организации исламского сотрудничества, Организации тюркских государств, Международной организации тюркской культуры.

 

Следующее государство, анализ законодательства в области информационной безопасности (далее — ИБ) которого мы проведём, — Республика Узбекистан.

 

БАЗОВЫЕ ДОКУМЕНТЫ И ПОНЯТИЯ

Вопросы регулирования в области информации и доступа к ней, обеспечения защиты информации.

Конституцией Республики Узбекистан, Законом Республики Узбекистан от 24.04.1997 № 400-I «О гарантиях и свободе доступа к информации», Законом Республики Узбекистан от 12.12.2002 № 439-II «О принципах и гарантиях свободы информации» предусматривается право каждого человека на поиск, получение и распространение информации, регулируются отношения, возникающие в процессе реализации прав свободно и беспрепятственно искать, получать, исследовать, передавать и распространять информацию.

В частности, Законом Республики Узбекистан от 12.12.2002 №439-II «О принципах и гарантиях свободы информации» раскрываются основные понятия:

• информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от источников и формы их представления (различают открытую и гласную информацию, конфиденциальную информацию);
• защита информации — меры по предотвращению угроз информационной безопасности и устранению их последствий;
• информационная безопасность — состояние защищённости интересов личности, общества и государства в информационной сфере.

 

Информационная безопасность делится на следующие виды:

• информационная безопасность личности — создание необходимых условий и гарантий свободного доступа к информации, защиты тайны частной жизни, защиты от противоправных информационно-психологических воздействий;
• информационная безопасность общества — достигается путём обеспечения развития основ демократического гражданского общества, свободы массовой информации, недопущения противоправного информационно-психологического воздействия на общественное сознание, манипулирования им, сохранения и развития духовных, культурных и исторических ценностей общества, научного и научно-технического потенциала страны, создания системы противодействия информационной экспансии;
• информационная безопасность государства — обеспечивается путём реализации мер экономического, политического, организационного и иного характера по противодействию угрозам безопасности в информационной сфере, защите государственных секретов и государственных информационных ресурсов от несанкционированного доступа к ним, интеграции в мировое информационное пространство и современные телекоммуникационные системы и другими направлениями.

Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством.

Информация о персональных данных физических лиц относится к категории конфиденциальной информации и рассматривается в рамках информационной безопасности личности.

Защита информации заключается в защите любой информации, противоправное обращение с которой может причинить ущерб её собственнику, владельцу, пользователю и иному лицу.

Целями защиты информации являются: предотвращение угроз безопасности личности, общества и государства в информационной сфере, сохранение конфиденциальности информации, предотвращение её утечки, хищения, утраты, искажения и фальсификации информации.

 

РЕГУЛИРОВАНИЕ В СФЕРЕ ИНФОРМАТИЗАЦИИ

Регулирование вопросов в области информатизации, использования информационных ресурсов и информационных систем.

Эти вопросы регламентируются Законом Республики Узбекистан «Об информатизации» от 11.12.2003 № 560-II.

Закон раскрывает основные понятия:

• информатизация — организационный социально-экономический и научно-технический процесс создания условий для удовлетворения потребностей юридических и физических лиц в информации с использованием информационных ресурсов, информационных технологий и информационных систем;
• информационная технология — совокупность методов, устройств, способов и процессов, используемых для сбора, хранения, поиска, обработки и распространение информации;
• информационная система — организационно упорядоченная совокупность информационных ресурсов, информационных технологий и средств связи, позволяющая осуществлять сбор, хранение, поиск, обработку и пользование информацией;
• блогер — физическое лицо, размещающее на своём веб-сайте и (или) странице веб-сайта во всемирной информационной сети Интернет общедоступную информацию общественно-политического, социально-экономического или иного характера, в том числе для её обсуждения пользователями информации.

 

ПРАВОВОЙ РЕЖИМ

Правовой режим информационных ресурсов и информационных систем определяется нормами, устанавливающими:

• порядок документирования информации, формирования информационных ресурсов и создания информационных систем;
• право собственности на информационные ресурсы и информационные системы;
• категории информационных ресурсов по уровню доступа к ним;
• порядок защиты информационных ресурсов и информационных систем;
• порядок межсетевых соединений информационных систем.

 

Информационные ресурсы по категориям доступа делятся на:

• общедоступные, предназначенные для неограниченного круга пользователей;
• ограниченного доступа, содержащие информацию о государственных секретах и конфиденциальную информацию или информацию, доступ к которой ограничен собственниками информационных ресурсов;
• также есть отдельная категория — информационные ресурсы, содержащие информацию о персональных данных физических лиц.

 

Порядок формирования и использования указанных ресурсов устанавливаются законодательством.

В Республике Узбекистан создана Национальная информационная система, которая включает в себя информационные системы государственных органов, отраслевые и территориальные информационные системы, а также информационные системы юридических и физических лиц.

Специальным уполномоченным органом является Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан. К его компетенции относятся вопросы:

• в области информатизации, электронного правительства, электронной коммерции, использования электронной цифровой подписи, телекоммуникаций и сфере почтовой связи;
• по созданию технологических условий для разработки и внедрения программных продуктов на основе искусственного интеллекта.

Также Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан является лицензирующим органом в сфере телекоммуникаций, рабочим органом Республиканского совета по радиочастотам, радиочастотным органом, органом, уполномоченным представлять Республику Узбекистан в Международном союзе электросвязи, Всемирном почтовом союзе и других международных организациях в области информационных технологий и коммуникаций.

 

ОБЕСПЕЧЕНИЕ КИБЕРБЕЗОПАСНОСТИ

Регулирование вопросов в сфере обеспечения кибербезопасности, в том числе объектов критической информационной инфраструктуры.

Указанные отношение регулирует Закон Республики Узбекистан от 15.04.2022 № ЗРУ-764 «О кибербезопасности».

Под кибербезопасностью понимается состояние защищённости интересов личности, общества и государства от внешних и внутренних угроз в киберпространстве (виртуальной среде, созданной с помощью информационных технологий).

К объектам кибербезопасности относится комплекс информационных систем, используемых в деятельности по обеспечению киберзащиты информации и кибербезопасности национальных информационных систем и ресурсов, в том числе объекты критической информационной инфраструктуры.

Киберзащита представляет собой комплекс правовых, организационных, финансово-экономических, инженерно-технических мер, а также мер криптографической и технической защиты данных, направленных на предотвращение инцидентов кибербезопасности, выявление кибератак и защиту от них, устранение последствий кибератак, восстановление стабильности и надёжности деятельности телекоммуникационных сетей, информационных систем и ресурсов.

Данным законом также определены понятия критической информационной инфраструктуры (комплекс автоматизированных систем управления, информационных систем и ресурсов сетей и технологических процессов, имеющих важное стратегическое и социально-экономическое значение), объектов критической информационной инфраструктуры (системы автоматизации, применяемые в различных областях экономики).

Единую государственную политику в области кибербезопасности определяет Президент Республики Узбекистан. Уполномоченным органом является Служба государственной безопасности Республики Узбекистан.

В отношении информационных ресурсов и систем государственных органов, информационных систем, включённых в категорию объектов критической информационной инфраструктуры, проводится экспертиза на соответствие требованиям кибербезопасности (в обязательном порядке или по инициативе субъектов кибербезопасности).

Аппаратные, аппаратно-программные и программные средства, применяемые для обеспечения кибербезопасности вышеуказанных ресурсов и систем, подлежат сертификации в обязательном порядке.

Объекты информатизации и объекты критической информационной инфраструктуры, категории которых определяются законодательством, подлежат аттестации и обязательной оценке.

Уделяется внимание инцидентам кибербезопасности, их расследованию, принятию мер в отношении киберинцидентов, раскрытию информации о них.

Также законом определены основные направления обеспечения кибербезопасности объектов критической информационной инфраструктуры, порядок их категорирования, ведения реестра объектов критической информационной инфраструктуры, основные права и обязанности субъектов критической информационной инфраструктуры, требования по обеспечению кибербезопасности, порядок создания системы обеспечения кибербезопасности и оценке кибербезопасности объектов критической информационной инфраструктуры.

В развитие указанного закона Постановлением Президента Республики Узбекистан от 31.05.2023 № ПП-167 «О дополнительных мерах по совершенствованию системы обеспечения кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан» утверждены:

• Положение о порядке обеспечения кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан, которым определяются основные понятия, принципы, направления обеспечения кибербезопасности, участники государственной системы обеспечения кибербезопасности объектов критической информационной инфраструктуры, уполномоченный государственный орган, его задачи и полномочия, права и обязанности субъектов критической информационной инфраструктуры, основы создания системы кибербезопасности объектов критической информационной инфраструктуры;
• Общие требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан, которые определяются Приказом Председателя Службы государственной безопасности Республики Узбекистан от 04.09.2023 № 91 утверждено «Положение о порядке оценки уровня обеспечения кибербезопасности объектов кибербезопасности и объектов критической информационной инфраструктуры Республики Узбекистан».

 

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Регулирование вопросов в области обработки персональных данных.

Данные вопросы регламентируются следующими основными законодательными и нормативно-правовыми актами Республики Узбекистан:

— Закон Республики Узбекистан от 02.07.2019 № ЗРУ-547 «О персональных данных» определяет правовые основы обработки и защиты персональных данных, а также права и обязанности субъектов персональных данных и операторов баз персональных данных.

Персональными данными является зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определённому физическому лицу или дающая возможность его идентификации.

Законом определяются следующие субъекты:

• субъект персональных данных (субъект) — физическое лицо, к которому относятся персональные данные;
• оператор базы персональных данных (оператор) — государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных;
• собственник базы персональных данных (собственник) — государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных;
• третье лицо — любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных.

В рамках закона выделяются:

• биометрические данные — персональные данные, характеризующие анатомические или физиологические особенности субъекта;
• генетические данные — персональные данные, относящиеся к унаследованным или приобретённым характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию;
• специальные персональные данные — данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости);
• общедоступные персональные данные — персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности;

— Трудовой кодекс Республики Узбекистан (параграф «Защита персональных данных работника») предусматривает, что работодатель обязан совместно с представителями работников вырабатывать меры по защите персональных данных работников для обеспечения защиты персональных данных и предотвращения незаконного распространения;

— Постановление Кабинета министров Республики Узбекистан от 05.10.2022 № 570 «Об утверждении некоторых нормативно-правовых актов в области обработки персональных данных», которым утверждены:

• Положение об определении уровней защищённости персональных данных при их обработке — предусматриваются обеспечение безопасности персональных данных при их обработке, установление уровней защищённости (четыре уровня) персональных данных при их обработке в зависимости от угроз безопасности (три типа угроз), требования по обеспечению уровней защищённости персональных данных;
• Положение о требованиях к материальным носителям биометрических и генетических данных и технологиям хранения таких данных вне баз персональных данных — предусматриваются порядок хранения биометрических и генетических данных на материальных носителях, их использования и учёта, требования к технологиям хранения биометрических и генетических данных вне баз персональных данных;

— Приказ Министра юстиции Республики Узбекистан от 14.11.2023 № 19-мх «Об утверждении Типового порядка организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора базы персональных данных, обеспечивающего обработку персональных данных и их защиту», которым определяется порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора базы персональных данных, обеспечивающего обработку персональных данных и их защиту;

— Приказ Министра юстиции Республики Узбекистан от 15.11.2023 № 20-мх «Об утверждении Типового порядка обработки персональных данных», которым определяется порядок обработки и защиты персональных данных, принципы, цели и условия обработки персональных данных, права и обязанности собственника и (или) оператора базы персональных данных.

 

ПОЛНОМОЧИЯ РЕГУЛЯТОРА

Регулятором в сфере защиты персональных данных является Государственный центр персонализации при кабинете министров Республики Узбекистан, обладающий следующими основными полномочиями:

• реализация государственной политики в области персональных данных;
• ведение Государственного реестра баз персональных данных;
• выдача свидетельства о регистрации базы персональных данных в Государственном реестре баз персональных данных;
• осуществление государственного контроля за соблюдением требований законодательства о персональных данных;
• определение необходимого уровня защищённости персональных данных;
• внесение обязательных для исполнения юридическими и физическими лицами предписаний об устранении нарушений законодательства о персональных данных;
• направление в государственные органы, уполномоченные в области обеспечения государственной безопасности, применительно к сфере их деятельности, установленные сведения;
• осуществляет сотрудничество с компетентными органами иностранных государств и международными организациями в области персональных данных.

 

БАНКОВСКАЯ СФЕРА

Регулирование информационной безопасности в банковской сфере.

Регулирование отношений в области получения, хранения, защиты, опубликования и предоставления сведений, составляющих банковскую тайну, осуществляется на основании Закона Республики Узбекистан от 30.08.2023 № 530-II «О банковской тайне». Понятие банковской тайны данным законом немного шире аналогичного понятия, используемого в Российской Федерации. В частности, под понятие банковской тайны попадает информация об участниках накопительной пенсионной системы, размере и движении сумм пенсионных взносов, пенсионных накоплениях на индивидуальных накопительных пенсионных счетах граждан.

Отдельным Законом Республики Узбекистан от 01.11.2019 № ЗРУ-578-сон «О платежах и платёжных системах» регулируются отношения в области платежей и платёжных систем. Деятельность операторов платёжных систем в Узбекистане является лицензируемой, и для получения лицензии банк должен представить документ о политике безопасности, включая подробную оценку рисков, а также описание мер, обеспечивающих информационную безопасность, кибербезопасность и минимизацию рисков для обеспечения защиты пользователя платёжной услуги, включая риски мошенничества и незаконного использования конфиденциальных и персональных данных.

Вопросы защиты информации в автоматизированных банковских системах регулируются Законом Республики Узбекистан от 04.04.2006 № ЗРУ-20-сон «О защите информации в автоматизированной банковской системе». В соответствии с данным законом собственник автоматизированной банковской системы обязан информировать собственника информации и пользователя автоматизированной банковской системы об особенностях методов обработки информации в автоматизированной банковской системе, а собственник информации и пользователь автоматизированной банковской системы обязаны подтвердить своё согласие на применение предложенных методов обработки и отсутствие претензий. Аналогичные нормы отсутствуют в российском законодательстве.

 

Надеемся, что данная статья поможет вам не заблудиться в законодательстве Республики Узбекистан. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ.

В следующем номере журнала мы продолжим обзор законодательства в области информационной безопасности других стран.