В Азербайджане предлагается ввести новые требования для ряда государственных органов.
Как сообщает Oxu.Az, соответствующий проект поправок к закону "Об информации, информатизации и защите информации" был вынесен на обсуждение на сегодняшнем пленарном заседании Милли Меджлиса.
Отмечается, что госструктурами, за исключением госорганов высшей категории, а также госорганов, обеспечивающих безопасность охраняемых лиц, охраняемых и стратегических объектов, субъектов разведывательной и контрразведывательной деятельности, а также Центрального банка Азербайджана (ЦБА), предложения по проектам цифрового развития, которые планируется реализовать в течение каждого последующего года, с указанием суммы требуемых финансовых средств и источника финансирования, представляются в орган, определяемый соответствующим органом исполнительной власти, до 20 января текущего года.
Орган, определяемый соответствующим органом исполнительной власти, рассмотрев данные предложения в течение 2 месяцев, представит в соответствующую госструктуру свое заключение о целесообразности с технической точки зрения и с точки зрения эффективности.
Орган, определяемый соответствующим органом исполнительной власти, получит заключение органа (структуры), определяемого соответствующим органом исполнительной власти, по проектам цифрового развития, реализуемым в рамках государственных инвестиций. Структура, определяемая соответствующим органом исполнительной власти, должна рассмотреть обращение для получения заключения и ответить на него в течение 14 рабочих дней. Если в течение этого срока на обращение не дан ответ, заключение считается положительным.
Положительное заключение не выдается на проекты, не соответствующие стратегическим целям и задачам, предусмотренным в государственных программах, стратегиях, национальных планах действий, концепциях и иных подобных документах, единой архитектуре цифрового развития страны, финансирование которых не предусмотрено в рамках государственных инвестиций, а также на повторные (дублирующие) проекты. Орган, определяемый соответствующим органом исполнительной власти, до 1 апреля текущего года представляет документы по проектам, на которые он сам и структура, определяемая соответствующим органом исполнительной власти, дали положительное заключение, вместе с этим заключением в орган, определяемый соответствующим органом исполнительной власти.
Орган, определяемый соответствующим органом исполнительной власти, в течение 2 месяцев с момента получения указанных документов проводит финансовую экспертизу и представляет свое заключение в структуру, определяемую соответствующим органом исполнительной власти, и в соответствующий государственный орган.
При наличии положительных заключений соответствующий государственный орган до 1 июля текущего года представляет свои предложения по финансированию проектов цифрового развития в соответствии с требованиями закона Азербайджанской Республики "О бюджетной системе" в структуру, определяемую соответствующим органом исполнительной власти.
Выделение органом, определяемым соответствующим органом исполнительной власти, средств соответствующей государственной структуре для финансирования предусмотренных проектов по каждому проекту осуществляется по согласованию со структурой, определяемой соответствующим органом исполнительной власти.
Кроме того, законопроект предусматривает централизацию информации о кибератаках и киберугрозах в отношении критически важных систем страны.
Отмечается, что координация деятельности по обеспечению кибербезопасности информационной инфраструктуры (критическая информационная инфраструктура, информационная инфраструктура, принадлежащая государственным органам (учреждениям), а также охраняемым лицам, охраняемым и стратегическим объектам, Центральный Банк Азербайджанской Республики (ЦБА) и субъекты, деятельность которых на финансовых рынках контролируется, а также обмен информацией исключительно по киберугрозам, кибератакам и киберинцидентам в связи с Национальными центрами реагирования на компьютерные инциденты (Национальный CERT), созданными органом (учреждением), определенным соответствующим органом исполнительной власти по принадлежности в связи с ними, и ЦБА) осуществляется CERT. Национальный CERT осуществляет обмен информацией в отношении кибербезопасности объектов критической информационной инфраструктуры через уполномоченный орган.
Информационная безопасность и кибербезопасность информационной инфраструктуры, принадлежащей субъектам разведывательной и контрразведывательной деятельности, обеспечивается этими органами. Информация о существующих и возможных киберугрозах, кибератаках и киберинцидентах против информационной безопасности и кибербезопасности информационной инфраструктуры этих органов, а также о мерах, принимаемых по их предотвращению и устранению последствий, не разглашается и не подлежит обмену с другими государственными органами (учреждениями), в том числе с Национальным CERT и Национальным SOC.
Правила обеспечения информационной безопасности и кибербезопасности информационной инфраструктуры, принадлежащей субъектам разведывательной и контрразведывательной деятельности, определяются нормативными правовыми актами этих органов.
В проекте также отмечено, что в случае невыполнения сайтами с доменом "az" предписаний Национального CERT в области кибербезопасности предусматривается аннулирование их домена или приостановка функционирования.
Согласно проекту, кибербезопасность информационной инфраструктуры будет обеспечиваться субъектом информационной инфраструктуры путём проведения оценки рисков, аудитов безопасности с целью выявления уязвимостей, пробелов и иных несоответствий в кибербезопасности объекта информационной инфраструктуры, а также принятия мер по устранению выявленных по результатам таких мероприятий недостатков.
На основании обращения субъекта информационной инфраструктуры услуги в сфере кибербезопасности и проактивных исследований в области кибербезопасности будут оказываться Национальным CERT на платной основе.
Размер оплаты определяется на основании договора, заключённого между сторонами.
Невыполнение владельцами интернет-информационных ресурсов, размещённых в национальной доменной зоне верхнего уровня с кодом страны "az" (за исключением gov.az), указаний Национального CERT, связанных с обеспечением кибербезопасности (предотвращением киберугроз, кибератак и киберинцидентов, а также устранением их последствий), является основанием для прекращения регистрации доменного имени в национальной доменной зоне верхнего уровня "az" и прекращения технического обслуживания данного доменного имени.
В таком случае Национальный CERT вправе требовать от органа, осуществившего регистрацию доменного имени, аннулирования доменного имени и прекращения его технического обслуживания (в том числе в судебном порядке), а в отношении субъектов, деятельность которых на финансовых рынках подлежит надзору, обращаться в Центральный банк Азербайджанской Республики с требованием о принятии указанных мер.