Зарубіжне законодавство в галузі інформаційної безпеки

Основним законом Російської Федерації є Конституція, прийнята 12 грудня 1993 року. Відповідно до статті 24 Конституції, органи державній влади і органи місцевого самоврядування, їх посадовці зобов’язані забезпечити кожному можливість ознайомлення з документами і матеріалами, безпосередньо зачіпає його права і свободи, якщо інше не передбачене законом.

Стаття 41 гарантує право на знання фактів і обставин, що створюють загрозу для життя і здоров’я людей, стаття 42 — право на знання достовірної інформації про стан навколишнього середовища.

У принципі, право на інформацію може реалізовуватися засобами паперових технологій, але в сучасних умовах найбільш практичним і зручним для громадян є створення відповідними законодавчими, виконавчими і судовими органами інформаційних серверів і підтримка доступності і цілісності поданих на них відомостей, тобто забезпечення інформаційної безпеки серверів.

Стаття 23 Конституції гарантує право на особисту і сімейну таємницю, на таємницю листування, телефонних розмов, поштових, телеграфних і інших повідомлень, стаття 29 – право вільно шукати, отримувати, передавати, проводити і поширювати інформацію будь-яким законним способом. Сучасна інтерпретація цих положень включає забезпечення конфіденційності даних, у тому числі в процесі їх передачі комп’ютерними мережами, а також доступ до засобів захисту інформації.

В Цивільному кодексі Російської Федерації (спираючись на редакцію від 15 травня 2001 року) фігурують такі поняття, як банківська, комерційна і службова таємниця. Згідно статті 139, інформація складає службову або комерційну таємницю в випадку, коли інформація має дійсну або потенційну комерційну цінність через невідомість її третім особам, до неї немає вільного доступу на законній підставі, і власник інформації вживає заходи до охорони її конфіденційності. Мається на увазі, як мінімум, компетентність в питаннях ІБ і наявність доступних (і законних) засобів забезпечення конфіденційності.

Вельми просунутим у плані інформаційної безпеки є Кримінальний кодекс Російської Федерації (редакція від 14 березня 2002 року). Розділ 28 – “Злочини у сфері комп’ютерної інформації” — містить три статті:

Ø стаття 272. Неправомірний доступ до комп’ютерної інформації;

Ø стаття 273. Створення, використання і поширення шкідливих програм для ЕОМ;

Ø стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі.

Окреслимо деякі закони інших країн (в первую чергу — США), оскільки тільки в США таких законодавчих актів близько 500.

Ключову роль грає американський “Закон про інформаційну безпеку” (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета – реалізація мінімально достатніх дій з забезпечення безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектру можливих дій.

Характерний, що вже на початку Закону називається конкретний виконавець — Національний інститут стандартів і технологій (НІСТ), що відповідає за випуск стандартів і керівництва, направленого на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, виконуваних за допомогою комп’ютерів. Таким чином, мається на увазі як регламентація дій фахівців, так і підвищення інформованості всього суспільства.

Згідно Закону, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов’язковим є і періодичне навчання всього персоналу таких ІС. НІСТ, у свою чергу, зобов’язаний проводити дослідження природи і масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування не тільки в державних системах, але і в приватному секторі.

Закон зобов’язав НІСТ координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо, щоб уникнути дублювання і несумісності.

Крім регламентації додаткових функцій НІСТ, Закон наказує створити при Міністерстві торгівлі комісію з інформаційної безпеки, яка повинна:

Ø виявляти перспективні управлінські, технічні, адміністративні і фізичні заходи, що сприяють підвищенню ІБ;

Ø видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.

З практичної точки зору важливий розділ 6 Закону, зобов’яже її урядові відомства сформувати план забезпечення інформаційної безпеки, направлений на те, щоб компенсувати ризики і запобігти можливому збитку від втрати, неправильного використання, несанкціонованого доступу або модифікації інформації у федеральних системах. Копії плану прямують в НІСТ і АНБ.

В 1997 році з’явилося продовження описаного закону — законопроект “Про вдосконалення інформаційної безпеки” (Computer Security Enhancement Act 1997, H.R. 1903), направлений на посилення ролі Національного інституту стандартів і технологій і спрощення операцій з криптозасобами.

В законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, що розробка і використання шифрувальних технологій повинна відбуватися на підставі вимог ринку, а не розпоряджень уряду. Крім того, тут відмічається, що за межами США є зіставні і загальнодоступні криптографічні технології, і це слід враховувати при виробленні експортних обмежень, щоб не знижувати конкурентоспроможність американських виробників апаратного і програмного забезпечення.

Для захисту федеральних ІС рекомендується більш широко застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонується оцінити можливості загальнодоступних зарубіжних розробок.

Дуже важливий розділ 3, в якому від НІСТ потрібно за запитами приватного сектора готувати добровільні стандарти, керівництво, засоби і методи інфраструктури відкритих ключі, що дозволяють сформувати недержавну інфраструктуру, придатну для взаємодії з федеральними ІС.

В розділі 4 особлива увага звертається на необхідність аналізу засобів і методів оцінки вразливих місць інших продуктів приватного сектора в галузі ІБ.

Заохочується розробка правил безпеки, нейтральних по відношенню до конкретних технічних рішень, використання у федеральних ІС комерційних продуктів, участь в реалізації шифрувальних технологій, що дозволяє зрештою сформувати інфраструктуру, яку можна розглядати як резервну для федеральних ІС.

Важливо, що відповідно до розділів 10 і далі передбачається виділення конкретних (і чималих) сум, називаються точні терміни реалізації програм партнерства і проведення досліджень інфраструктури з відкритими ключами, національної інфраструктури цифрових підписів. Зокрема, передбачається, що для центрів, що засвідчують, повинні бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.

В 2001 році був схвалений Палатою представників і переданий в Сенат новий варіант розглянутого законопроекту – Computer Security Enhancement Act 2001 (H.R. 1259 RFS). В цьому варіанті важливо як те, що, в порівнянні з попередньою редакцією, було прибрано, так і те, що додалося.

За чотири роки (1997 – 2001 роки) на законодавчому і інших рівнях інформаційної безпеки США було зроблено багато. Пом’якшені експортні обмеження на криптозасоби (в січні 2000 року). Сформована інфраструктура з відкритими ключами. Розроблена велика кількість стандартів (наприклад, новий стандарт електронного цифрового підпису – FIPS 186-2, січень 2000 року). Все це дозволило не загострювати увагу на криптографії як такій, а зосередитися на одному з її найважливіших додатків – аутентифікації, розглядаючи її за опрацьованою на криптозасобах методикою. Очевидно, що, незалежно від долі законопроекту, в США буде сформована національна інфраструктура електронної аутентифікації. В даному випадку законотворча діяльність йде в ногу з прогресом інформаційних технологій.

Програма безпеки, передбачає економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС згадується в законодавстві США неодноразово. Згідно пункту 3534 (“Обов’язки федеральних відомств”) підрозділу II (“Інформаційна безпека”) розділу 35 (“Координація федеральної інформаційної політики”) рубрики 44 (“Суспільні видання і документи”), така програма повинна включати:

Ø періодичну оцінку ризиків з розглядом внутрішніх і зовнішніх загроз цілісності, конфіденційності і доступності систем, а також даних, асоційованих з критично важливими операціями і ресурсами;

Ø правила і процедури, що дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;

Ø навчання персоналу з метою інформування про існуючі ризики і про обов’язки, виконання яких необхідне для їх нейтралізації;

Ø періодичну перевірку і переоцінку ефективності правил і процедур;

Ø дії при внесенні істотних змін в систему;

Ø процедури виявлення порушень інформаційній безпеки і реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути значних втрат; організувати взаємодію з правоохоронними органами.

Звичайно, в законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони, АНБ.

У законодавстві Німеччини виділимо досить розгорнутий (44 розділи) Закон про захист даних (Federal Data Protection Act December 20, 1990 (BGB1/І 1990 S.2954), amended law September 14, 1994 (BGB1. І S. 2325)). Він цілком присвячений захисту персональних даних.

Як, ймовірно, й у всіх інших законах аналогічної направленості, в даному випадку встановлюється пріоритет інтересів національної безпеки над збереженням таємниці приватного життя. В іншому права особи захищені вельми ретельно. Наприклад, якщо співробітник фірми опрацьовує персональні дані на користь приватних компаній, він дає підписку про нерозголошування, яка діє і після переходу на іншу роботу.

Державні установи, що зберігають і опрацьовують персональні дані, несуть відповідальність за порушення таємниці приватного життя “суб’єкта даних”, як мовиться в Законі. В матеріальному вираженні відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.

З законодавства Великобританії згадаємо сімейство так званих добровільних стандартів BS 7799, що допомагають організаціям на практиці сформувати програми безпеки. Відмітимо, що вони дійсно працюють, не дивлячись на “добровільність” (або завдяки ній?).

В сучасному світі глобальних мереж законодавча база повинна бути узгоджена з міжнародною практикою. В цьому плані повчальний приклад Аргентини. В кінці березня 1996 року компетентними органами Аргентини був арештований Хуліо Цезар Ардіта, 21 року, житель Буенос-Айреса, системний оператор електронної дошки оголошень “Крик”, відомий в комп’ютерному підпіллі під псевдонімом “El Griton”. Йому ставилися у вину систематичні вторгнення в комп’ютерні системи ВМС США, НАСА, більшості американських університетів, а також в комп’ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайвані. Проте, не дивлячись на тісну співпрацю компетентних органів Аргентини і США, Ардіта був відпущений без офіційного висунення звинувачень, оскільки за аргентинським законодавством вторгнення в комп’ютерні системи не вважається злочином. Крім того, через принцип “подвійної кримінальності”, що діє в міжнародних правових відносинах, Аргентина не може видати хакера американській владі. Справа Ардіта показує, яким може бути майбутнє міжнародних комп’ютерних вторгнень за відсутності загальних або хоча б двосторонніх угод про боротьбу з комп’ютерною злочинністю.