Республика Молдова. Обзор законодательства в области информационной безопасности

Республика Молдова. Обзор законодательства в области информационной безопасности

ОБЩИЕ СВЕДЕНИЯ

Республика Молдова — государство в Юго-Восточной Европе, граничащее с Украиной и Румынией. Столица — город Кишинёв. Государственный язык — румынский.

Республика Молдова является членом ООН, Совета Европы, СНГ, ГУАМ, Содружества демократического выбора, Организации черноморского экономического сотрудничества.

Органы, утверждающие и согласовывающие законы и подзаконные акты в области ИБ в стране: Правительство, Парламент, Национальный Банк и другие.

Следующий обзор посвящён законодательству в сфере ИБ Республики Молдова. Все рассмотренные в публикации документы имеют общегосударственное значение и применяются для организации и обеспечения информационной и кибербезопасности.

КООРДИНАЦИОННЫЕ СОВЕТЫ

Согласно Постановлению № 467 от 06.07.2022 в Республике Молдова был создан Координационный совет по обеспечению информационной безопасности. Данный совет является коллективным органом с консультативными и оперативными полномочиями, не имеющим статуса юридического лица, созданным с целью системной интеграции участвующих структур в информационном пространстве и поддержки высокого уровня ИБ. Основной функцией Совета является продвижение и координация мер по реализации политики информационной безопасности в демократическом обществе на основе развития технологических, правовых и иных отношений в информационной сфере как на национальном, так и на международном уровне. Совет действует как коллективный орган, специализирующийся на вопросах информационной безопасности, облегчающий взаимодействие компонентов информационного общества на национальном уровне в целях содействия обеспечению информационной безопасности.

Для выполнения основной функции Совет наделён следующими обязанностями:

• совершенствование/гармонизация/разработка политики ИБ в соответствии с эволюцией и динамикой развития секторов;
• разработка продуктов для анализа и оценки состояния национального информационного пространства;
• согласование планов действий по разрешению инцидентов ИБ;
• оценка состояния ИБ на национальном уровне;
• создание под эгидой совместных рабочих групп с привлечением экспертов из сети того или иного сектора, а также экспертов из-за пределов сети в стране и за рубежом для решения вопросов ИБ. Координацию работы совместной рабочей группы осуществляет руководитель сектора, выступивший с предложением о её создании;
• координация действий учредителей по созданию информационного ресурса для стратегической коммуникации на государственном уровне, организованной с целью обеспечения ИБ и, как следствие, национальной безопасности.

Работа Совета сосредоточена в трёх секторах: операционном, медийном и гражданско-общественном.

Согласно Постановлению Правительства № 333 от 08.05.2024 в Республике Молдова был создан Координационный совет в области кибербезопасности. Совет — это коллегиальный орган, который не является юридическим лицом, возглавляется министром экономического развития и цифровизации и состоит из представителей министерств, ответственных за реализацию государственной политики в критически важных секторах и подсекторах, установленных Правительством, в соответствии с Законом № 48/2023 о кибербезопасности, и представителей других органов публичного управления и публичных учреждений, обладающих компетенцией в области кибербезопасности.

В целях реализации своей миссии Совет осуществляет следующие полномочия:

• координирует на стратегическом уровне разработку и осуществление мониторинга выполнения Национальной стратегии кибербезопасности и других документов публичной политики и планирования в области кибербезопасности;
• рассматривает и выносит заключения относительно документов публичной политики с учётом обеспечения их согласованности, синергии и взаимодополняемости с Национальной стратегией кибербезопасности и другими документами публичной политики и планирования в области кибербезопасности;
• представляет предложения по совершенствованию документов публичной политики и нормативных актов с целью обеспечения их синергии и согласованности с Национальной стратегией кибербезопасности и другими документами публичной политики и планирования в области кибербезопасности;
• координирует на стратегическом уровне процесс составления и периодического обновления национального плана реагирования на кибернетические инциденты и кризисы в области кибербезопасности, а также оказывает в связи с этим необходимую помощь компетентному органу на национальном уровне в области кибербезопасности, в том числе в отношении взаимодействия сторон, участвующих в этом процессе;
• способствует укреплению межведомственной координации для достижения целей и решения задач в области кибербезопасности, предусмотренных в документах публичной политики и планирования в области кибербезопасности, и решениях Совета;
• рассматривает актуальные вопросы в области кибербезопасности и представляет рекомендации органам публичного управления и публичным учреждениям, наделённым компетенциями в области кибербезопасности.

ЗАКОНЫ И ОПРЕДЕЛЕНИЯ

С 1 января 2025 года в Молдове вступил в силу Закон «О кибербезопасности». Парламент страны утвердил его 16 марта 2023 года № 48. Данный закон регулирует нормативную, организационную базу и базу для обеспечения сотрудничества в области кибербезопасности, устанавливает компетенции органов публичной власти и публичных учреждений в вопросах кибербезопасности, устанавливает общенациональную базу управления кризисами в области кибербезопасности, вводит требования, меры и механизмы, служащие для целей обеспечения безопасности информационных сетей и систем, имеющих важное значение для жизнедеятельности общества, и целей управления кибернетическими инцидентами. Согласно данному закону, были введены следующие определения:

• киберугроза — потенциальное обстоятельство, событие или действие, способное привести к повреждению, сбою либо иному негативному воздействию на информационные сети и системы, на пользователей таких систем или на других лиц;
• значительная киберугроза — киберугроза, которая, как можно предположить на основании её технических характеристик, способна серьёзно повлиять на сети и информационные системы юридического лица, предоставляющего услуги, или на пользователей предоставляемых им услуг с причинением значительного материального и/или нематериального ущерба;
• согласованное раскрытие уязвимостей — структурированный процесс, посредством которого информация об уязвимостях передаётся производителю или поставщику потенциально уязвимых продуктов ИКТ или услуг ИКТ таким образом, чтобы он мог диагностировать и устранить соответствующие уязвимости до того, как подробная информация об уязвимости будет раскрыта третьим лицам или общественности;
• управление кибернетическим инцидентом — совокупность действий и процедур, целью которых является предотвращение, обнаружение, анализ, минимизация последствий и локализация кибернетического инцидента либо реагирование на соответствующий инцидент и оздоровление создавшейся вследствие инцидента ситуации;
• кибернетический инцидент — событие, которое ставит под угрозу доступность, подлинность, целостность или конфиденциальность хранящихся, передаваемых или обрабатываемых данных либо услуг, которые предоставляются информационными сетями и системами или при посредстве которых к ним осуществляется доступ;
• кибернетический инцидент, предотвращённый в последний момент, — событие, которое могло поставить под угрозу доступность, подлинность, целостность или конфиденциальность хранящихся, передаваемых или обрабатываемых данных либо услуг, которые предоставляются информационными сетями и системами или при посредстве которых к ним осуществляется доступ, и материализация которого была предотвращена или не произошла;
• процесс информационно-коммуникационных технологий (процесс ИКТ) — комплекс действий, выполняемых для проектирования, разработки, предоставления и/или обслуживания продуктов ИКТ или услуг ИКТ.

На основании Закона № 299 от 21.12.2017 «Об утверждении Концепции информационной безопасности Республики Молдова» были введены следующие определения:

• гибридная угроза безопасности — подрывная и/или информационная операция, управляемая или руководимая государствами, негосударственными субъектами, организациями, лицами, специально нацеленная на слабые и уязвимые стороны суверенного, независимого и целостного правления;
• информационное оружие — информация и/или информационная технология, средства массовой информации, иные ресурсы и методы, используемые на тактическом, оперативном и стратегическом уровнях в целях ведения информационной войны;
• психологическая операция — спланированное действие для передачи широкой общественности психологически деструктивных посланий, информации и показателей, подобранных с учётом объективных или субъективных эмоций, мотивов и суждений, с целью оказания влияния на поведение властей, организаций, групп и/или личностей;
• пропаганда — действие по систематическому распространению информации для воздействия на отношения, убеждения и поведение людей, в поддержку либо в ущерб определённым учреждениям, идеям или личностям посредством манипулятивной подачи информации и/или выборочного освещения событий, с целью подрыва национальных интересов государства;
• информационная война — комплекс действий, проводимых в информационном пространстве государственными или негосударственными субъектами посредством пропаганды, медийной агрессии, манипулирования и дезинформации, включая цифровые, кибернетические и психологические операции, с целью подрыва суверенитета, независимости и территориальной целостности государства.

В данном законе отражены: основные задачи обеспечения ИБ, угрозы ИБ, инструменты и пути решения проблем.

В области персональных данных в Республике Молдова действует Закон от 25.07.2024 № 195 «О защите персональных данных», который заменил ранее действующий Закон от 08.07.2011 № 133. Закон устанавливает правовые основы защиты физических лиц в связи с обработкой персональных данных, организации и функционирования Национального центра по защите персональных данных, надзора за применением законодательства в области персональных данных, ответственности и наказаний, применяемых за нарушение законодательства в области персональных данных. Соблюдение законодательства о персональных данных обязательно в случае сбора, хранения, передачи, раскрытия путём передачи, обработки персональных данных, которые являются системой учёта, в связи с профессиональной или коммерческой деятельностью при помощи автоматизированных средств. Законодательство не распространяется на обработку персональных данных исключительно для семейных или личных нужд (например, телефонные номера в телефонном справочнике, семейный фотоальбом, использование данных при продаже недвижимости).

В ФИНАНСОВОЙ СФЕРЕ

В Национальный Банк Молдовы (далее — НБМ) входит Управление менеджмента непрерывности деятельности, безопасности информации и надзора в области информационных технологий, которое поддерживает и способствует достижению целей НБМ, обеспечивая управление информационной безопасностью и непрерывностью деятельности в НБМ.

В компетенцию подразделения входит: разработка/обеспечение общей стратегии информационной безопасности и защиты персональных данных в рамках НБМ путём установления приоритетов развития и/или совершенствования системы управления информационной безопасностью и контроля за соблюдением требования безопасности на уровне НБМ, организация, координация и непосредственный контроль за осуществлением и обеспечением непрерывности деятельности в рамках НБМ, осуществление функции надзора в сфере ИКТ в лицензированных банках и в эмитентах электронных денег и небанковских поставщиков платёжных услуг, а также осуществление функции оперативного контроля путём планирования, организации и проведения основных/тематических проверок, в том числе внеплановых, связанных с внутренней деятельностью НБМ.

Постановлением Исполнительного комитета Национального банка Молдовы№ 29 от 12 февраля 2025 года был утверждён «Регламент о минимальных требованиях к управлению рисками информационных и коммуникационных технологий, информационной безопасности и непрерывности деятельности». Целью регламента является обеспечение того, чтобы учреждения имели адекватную внутреннюю систему ИБ и непрерывности деятельности, в том числе для управления рисками в сфере ИКТ, согласованную с общей бизнес-стратегией, а процессы внутреннего управления были должным образом установлены в отношении систем ИКТ учреждения и должным образом защищают их системы ИКТ пропорционально характеру, масштабу и сложности рисков, присущих деловой модели и осуществляемой деятельности.

Надеемся, что данный обзор поможет не «заблудиться» в Законодательстве Республики Молдова. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ.