Огляд законодавства західноєвропейських країн та США по ІБ

В США існує коло 500 законодавчих актів про інформаційний простір.

американський "Закон про інформаційну безпеку"

(Computer Security Act of 1987, Public Law 100-235 (H.R. 145), 01.08, 1988).

Його мета - реалізація мінімально достатніх дій для забезпечення безпеки інформації в федеральних комп’ютерних системах, без обмежень всього спектру можливих дій.

Одразу на початку Закону вказується конкретний виконавець -
Національний інститут стандартів і технологій (НІСТ), який відповідає за розробку і випуск стандартів і керівництв, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і підробок, які виконуються за допомогою комп’терів. Таким чином розглядається не тільки регламентація дій спеціалістів, але й підвищення інформованості всього суспільства.

За Законом усі оператори федеральних ІС, які містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ.

Обов’язковим є і періодичне навчання усього персоналу таких ІС.

НІСТ зобов’язаний проводити дослідження природи і масштабів вразливих місць, розробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування не лише в державних стсьемах, але й приватному секторі.

Закон зобов’язує НІСТ узгоджувати свою діяльність з іншими міністерствами і відомствами, включно з Мін.оборони, Мін.енергетики, Агентством національної безпеки (АНБ) і т.п., з метою запобугання дублювання і несумісності.

Окрім регламентації додаткових функцій НІСТ, Закон змушує створити при Мін.торгівлі комісію по інформаційній безпеці, яка повинна:

• виявляти перспективні управлінські, технічні, адміністративні і фізичні заходи, які б сприяли підвищенню ІБ;
• розробляти рекомендації Національному інститутові стандартів і технологій, доводитт їх до відома усіх зацікавлених відомств.

З практичної точки зору важливим є 6-й розділ Закона, який зобов’язує усі державні підрозділи (відомства) сформувати план забезпечення інформаційної безпеки, спрямований на те щоб компенсувати ризики і запобігти можливій шкоді від втрати, неправильного використання, несанкціонованого доступу або модифікації інформації в федеральних системах. Копії планів спрямовуються в НІСТ І АНБ.

В 1997 році з’являється продовження описаного закону – законопроект

"Про удосконалення інформаційної безпеки"

(Computer Security Enhancement Act of 1997, H.R. 1903), спрямований на посилення ролі Національного інституту стандартів і технологій і спрощення операцій з криптозасобами.

В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Кроме того, здесь отмечается, что за пределами США имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать при выработке экспортных ограничений, чтобы не снижать конкурентоспособность американских производителей аппаратного и программного обеспечения.

Для защиты федеральных ИС рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.

Очень важен раздел 3, в котором от НИСТ требуется по запросам частного сектора готовить добровольные стандарты, руководства, средства и методы для инфраструктуры открытых ключей, позволяющие сформировать негосударственную инфраструктуру, пригодную для взаимодействия с федеральными ИС.

В разделе 4 особое внимание обращается на необходимость анализа средств и методов оценки уязвимых мест других продуктов частного сектора в области ИБ.

Приветствуется разработка правил безопасности, нейтральных по отношению к конкретным техническим решениям, использование в федеральных ИС коммерческих продуктов, участие в реализации шифровальных технологий, позволяющее в конечном итоге сформировать инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.

Важно, что в соответствии с разделами 10 и далее предусматривается выделение конкретных (и немалых) сумм, называются точные сроки реализации программ партнерства и проведения исследований инфраструктуры с открытыми ключами, национальной инфраструктуры цифровых подписей. В частности, предусматривается, что для удостоверяющих центров должны быть разработаны типовые правила и процедуры, порядок лицензирования, стандарты аудита.

В 2001 году был одобрен Палатой представителей и передан в Сенат новый вариант рассмотренного законопроекта - Computer Security Enhancement Act of 2001 (H.R. 1259 RFS).

За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства (в январе 2000 г.). Сформирована инфраструктура с открытыми ключами. Разработано большое число стандартов (например, новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять более внимания на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. Очевидно, что, независимо от судьбы законопроекта, в США будет сформирована национальная инфраструктура электронной аутентификации. В данном случае законотворческая деятельность идет в ногу с прогрессом информационных технологий.

Программа безопасности, предусматривающая экономически оправданные защитные меры и синхронизированная с жизненным циклом ИС, упоминается в законодательстве США неоднократно. Согласно пункту 3534 ("Обязанности федеральных ведомств") подглавы II ("Информационная безопасность") главы 35 ("Координация федеральной информационной политики") рубрики 44 ("Общественные издания и документы"), такая программа должна включать:

• периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;
• правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;
• обучение персонала с целью информирования о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации;
• периодическую проверку и (пере)оценку эффективности правил и процедур;
• действия при внесении существенных изменений в систему;
• процедуры выявления нарушений информационной безопасности и реагирования на них; эти процедуры должны помочь уменьшить риски, избежать крупных потерь; организовать взаимодействие с правоохранительными органами.

В законодательстве США имеются в достаточном количестве и положения ограничительной направленности, и директивы, защищающие интересы таких ведомств, как Министерство обороны, АНБ, ФБР, ЦРУ.

Закон про захист даних (Німеччина)

(Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). В законодательстве ФРГ выделим весьма развернутый (44 раздела) Он целиком посвящен защите персональных данных.

Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.

Государственные учреждения, хранящие и обрабатывающие персональные данные, несут ответственность за нарушение тайны частной жизни "субъекта данных", как говорится в Законе. В материальном выражении ответственность ограничена верхним пределом в 250 тысяч немецких марок.