Борзунов К.К. Системы защиты информации в ведущих зарубежных странах Ч. 1
.pdf101
Могут быть подготовлены еще два подобных документа:
−письмо нанимателю уволившегося служащего, в котором руководитель организации, откуда уволился работник, ставит в известность нового работодателя в отношении информированности о коммерческой тайне принятого на службу работника;
−письмо уволившемуся служащему, где руководитель организации напоминает ему о тех обязательствах по сохранению коммерческой тайны, которые были даны им при приеме на работу.
Вцелом организационная сторона защиты коммерческой тайны в фирмах США мало чем отличается от организации защиты информации в компаниях, организациях и на предприятиях западной Европы и современной России. Государство предоставляет компаниям поддержку в осуществлении защиты конфиденциальной информации, главным образом, регулируя законодательную базу, а также стимулируя развитие науки в этой сфере, обучая и квалифицируя кадры. Политику безопасности устанавливает собственник информации, исходя из анализа состояния безопасности фирмы. В США имеет место некоторое усложнение как порядка оформления трудовых отношений, так и их прекращения.
Таким образом, высокая степень разработанности и подробная детализация законодательства США позволяют эффективно осуществлять правовое регулирование трудовых отношений, предметом которых является информация, составляющая коммерческую тайну, без каких-либо дополнительных действий, направленных на усиление правовой защищенности как обладателя коммерческой тайны, так и иных хозяйствующих субъектов.
Роль частных охранно-сыскных и детективных агентств в обеспечении защиты коммерческой тайны. В последние годы в во-
просах обеспечения правопорядка ведущие страны все более ориентируются не только на традиционные полицейские органы, но и на частные сыскные бюро и службы коммерческой и промышленной безопасности, сотрудники которых расширяют диапазон своей след- ственно-разыскной деятельности в экономической сфере, участвуют в работе национальных и международных научных конференций по криминалистическим проблемам, исследуют различные аспекты борьбы с правонарушениями. Эта отчетливо фиксируемая и набирающая силу тенденция в основном объясняется финансовой привлекательностью для многих правительственных органов передачи некоторых второстепенных правоохранительных функций частным агент-
102
ствам и компаниям и возможностью в связи с этим сократить в определенной степени расходы на полицию из государственного бюджета.
Одна из особенностей Соединенных Штатов Америки состоит в том, что в этой стране не имеется единого федерального закона о частной детективной и охранной деятельности. В 35 штатах действуют законы, непосредственно касающиеся частных сыскных бюро. Главное условие их деятельности – регистрация и получение лицензий, которые выдают специально определенные в законе органы исполнительной власти штата либо ее официальные представители. При этом гражданство США – обязательное требование в 16 штатах. В 22 штатах США для регистрации в качестве частного охранника или детектива необходимы характеристика, поручительство либо рекомендательное письмо.
Согласно американскому законодательству зарегистрированным частным детективом является лицо, которому государственной аттестационной комиссией дано разрешение на занятие частной сыскной (частной охранной) практикой как в качестве самостоятельно действующего агента, так и руководителя (управляющего) бюро.
Законы США на уровне штатов предусматривают выдачу трех классов лицензий («А», «В», «С»), в соответствии с которыми сотрудники частных сыскных бюро осуществляют конкретную деятельность. Лицензия выдается, как правило, на срок от одного года до двух лет. Лицензия на детективную либо охранную деятельность, полученная в одном штате, недействительна для работы в другом.
В соответствии с § 71 закона Маккина (штат Нью-Йорк) частные сыскные бюро самостоятельно или вместе с правоохранительными органами могут:
−собирать информацию о преступлениях или угрозах в отношении правительства США и отдельных штатов;
−устанавливать и получать биографические данные и характеристики на отдельных граждан, организации, общества и т.д.;
−заниматься розыском исчезнувших лиц;
−выявлять места хранения потерянного или краденого имущества;
−вести поиск свидетелей и собирать доказательства для правоохранительных и судебных органов;
−осуществлять физическую охрану фирм и частных лиц и т.п. При подборе кадров для детективных и охранных агентств при-
меняются следующие методы и средства:
103
−психологическое тестирование в целях выявления способностей кандидата работать в сложных, чрезвычайных, кризисных условиях;
−подробные индивидуальные беседы;
−испытания на «детекторе лжи» в тех штатах, где это разрешено законом.
Частные службы безопасности требуют от принимаемого на работу кандидата заполнения анкет, в которых обязательно указываются сведения о его прошлой жизни и деятельности, состоянии здоровья. Кроме того, требуются отзывы и рекомендации с предыдущих мест работы и документы об образовании.
Частные агентства охотно берут на работу бывших полицейских, сотрудников ФБР, ЦРУ, уволенных без взысканий, а также бывших военнослужащих, особенно проходивших службу в разведке, спецвойсках, воздушно-десантных войсках, морской пехоте.
Растущие потребности частных служб безопасности в кадрах привели к тому, что некоторые американские колледжи и университеты ввели в свои программы курсы обучения по различным проблемам обеспечения безопасности. Эти учебные заведения имеют достаточно отработанные учебные программы и планы, большое количество учебной литературы, наглядных пособий и видеофильмов.
Вучебном процессе, по данным американских специалистов, для подготовки детективов широко применяются разнообразные технические средства обучения, в том числе фильмы-тесты и тренажеры для отработки некоторых устойчивых навыков и умений по выявлению и предотвращению различных видов угроз.
Сыскные и охранные агентства в силу закона находятся в США под постоянным контролем государственных органов, которые оценивают и дают заключение о профессиональной подготовке каждого кандидата, изучают его личные и деловые качества и имеют возможность отводить от охранно-детективной деятельности неквалифицированных, нежелательных и неблагонадежных лиц. Конечно, это не означает, что деятельность охранно-сыскных фирм в США полностью лишена недостатков.
Главная опасность заключается не столько в несовершенстве законодательства, регулирующего деятельность частных детективных
иохранных служб, сколько в правонарушениях, которые совершают частные детективы и охранники с использованием своих служебных полномочий или нередко с их превышением. Большая часть злоупотреблений по службе, допускаемых указанными лицами, связана
104
с посягательствами на права человека, несоблюдением прав личности. По имеющимся данным, в США за год примерно 25-30 % частных детективов лишаются своей лицензии или ее действие приостанавливается административным судом по представлению прокуратуры соответствующего штата.
На основе анализа данного рода преступлений зарубежные криминалисты выделяют следующие причины и условия их совершения:
−несовершенство законодательства, регламентирующего услуги частных правоохранительных организаций;
−низкий уровень подготовки частных детективов и охранников,
втом числе правовой;
−отсутствие надлежащего профессионального отбора;
−неэффективный контроль со стороны государственных органов. Как показывает изучение соответствующих нормативных актов, в
США в настоящее время существуют три основных типа частных правоохранительных организаций: сыскные бюро, охранные агентства, службы безопасности в различных промышленных и коммерческих структурах.
К основным функциям, которые выполняют частные охранносыскные и детективные агентства, относятся:
−охрана частной собственности фирм (банков) и обеспечение с помощью телохранителей личной безопасности их руководителей и отдельных служащих;
−охрана и патрулирование контролируемых зон компании и близлежащей неконтролируемой зоны;
−контроль подходов к охраняемому объекту и прилегающей к нему территории;
−обслуживание автоматизированных контрольно-пропускных систем;
−проверка и обеспечение безопасности служебных помещений;
−выявление подслушивающих устройств;
−производство досмотров и обысков помещений, транспорта, людей;
−защита от утечки коммерческих секретов, промышленного, финансового и «электронного» шпионажа, подделки фирменных знаков
ивнутренних документов, незаконной конкуренции;
−выявление некредитоспособных и ненадлежащих контрагентов;
−обеспечение сигнализации и иных способов оповещения;
105
−обеспечение безопасности транспортировки ценных грузов в бронированном транспорте;
−обеспечение безопасности физического лица (в том числе иностранных граждан);
−умение грамотно действовать в чрезвычайных ситуациях;
−информирование соответствующих правоохранительных органов о выявлении совершенных преступлений, содействие в задержании правонарушителей;
−участие в расследовании некоторых видов преступлений;
−поиск людей, пропавших без вести;
−выявление технического, технологического, кредитно-финансо- вого, кадрового, научного потенциала возможных конкурентов и партнеров;
−добывание конфиденциальной коммерческой и иной информации для деловых переговоров;
−негласная проверка финансового положения партнеров и клиентов.
Таким образом, наибольшее значение в борьбе частных охранных
исыскных агентств с правонарушениями придается предупреди- тельно-профилактической работе.
Основные задачи промышленных и коммерческих служб безопасности лежат в основном в сфере выявления, предупреждения и пресечения утечки секретной технической и коммерческой информации, предотвращения и расследования на определенных объектах иных правонарушений, связанных с разглашением коммерческой тайны.
В большинстве штатов существуют строгие законодательные ограничения на разглашение частным детективом сведений, полученных им при исполнении своих служебных обязанностей.
Частные детективные агентства и отдельные лица, имеющие соответствующую лицензию, обязаны осуществлять свою деятельность в строгом соответствии с конституцией США и законодательными актами штатов. В случае нарушения законов они лишаются разрешения на проведение сыскной (охранной) деятельности, а при серьезных нарушениях могут быть на o6щих основаниях привлечены
куголовной ответственности.
В 1995 г. в стране было создано Американское общество промышленной безопасности (АОПБ), которое, по сути, выступило в качестве национальной (федеральной) ассоциации сотрудников ча-
106
стных охранно-детективных агентств и служб безопасности. Главными задачами общества являются:
−обмен информацией о новинках в сфере профессиональных интересов его членов;
−установление контактов и развитие профессиональных связей;
−оказание помощи членам общества в проведении расследований в других штатах, а также за рубежом.
Однако, ввиду серьезных различий в законодательстве отдельных штатов, это общество не пользуется в США широкой известностью. Гораздо более успешно действуют ассоциации частных детективов в отдельных штатах.
САмериканским обществом промышленной безопасности тесно взаимодействует Ассоциация начальников полицейских служб. В США существует также Всемирная ассоциация детективов, которая имеет международный характер.
Как показывает изучение статистических данных, наиболее распространенными в США преступлениями являются кражи, совершаемые служащими фирм, в том числе кражи документов и разглашение сведений, содержащих коммерческую тайну. Как правило, частное сыскное бюро расследует дело, оценивает размеры нанесенного ущерба. В подобных случаях сотрудник фирмы, допустивший противозаконное действие, увольняется администрацией, в ряде случаев даже под «легендированным» предлогом сокращения штатов. При этом обычно принимаются меры по своеобразному неофициальному оповещению других бизнесменов об «особенностях» личности увольняемого лица. Такие меры, по мнению специалистов, должны обеспечивать общие интересы социально-экономической безопасности предпринимательских кругов страны.
Если на служащего фирмы или банка только падает подозрение, но отсутствуют необходимые доказательства или прямые улики, его переводят на другую должность, лишая тем самым возможности повторить содеянное. Подобная мера считается наиболее эффективной
ибыстрой формой предупреждения преступности.
ВСША система частных охранно-сыскных агентств заметно отличается от государственной системы правоохранительных органов, занимающейся раскрытием преступлений, розыском и наказанием преступников.
Основная причина отказа руководителей американских фирм и банков от вмешательства государственной полиции в расследование
107
посягательств на защищаемую информацию заключается в основном в скромных масштабах совершенного преступления, незначительном размере понесенного ущерба, отсутствии необходимых доказательств, больших затратах на судебное разбирательство, длительности сроков расследования, несовершенстве федерального и местного законодательства. В некоторых случаях полицию умышленно не ставят в известность во избежание нежелательной огласки, последствия которой могут нанести больший вред имиджу организации, нежели само преступление.
Анализируя состояние сферы частных служб безопасности в США, можно сделать вывод, что, несмотря на постоянный контроль со стороны государственных органов, на сегодняшний день она не совершенна. С одной стороны, частные службы безопасности способствуют обеспечению экономической и информационной безопасности предприятия, с другой – сами иногда осуществляют экономический шпионаж в отношении конкурентов. Что касается роли частных охранно-сыскных и детективных агентств, одной из существенных экономических причин развития их деятельности является стремление предпринимателей в условиях обострения конкурентной борьбы на многих мировых товарных рынках и в сфере банковскостраховых услуг максимально сохранить конфиденциальность своих коммерческих операций. Таким образом, свыше 70 % американских бизнесменов предпочитают услугам государственной полиции частные расследования и охрану, поскольку обоснованно опасаются за репутацию фирмы и весьма вероятную утечку коммерческой информации в прессу, на телевидение, а также в налоговые органы при официальном расследовании.
3.3. Система организационно-правового обеспечения защиты персональных данных
Законодательная база обеспечения защиты персональных дан-
ных в США. Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа. Интерес к праву на неприкосновенность частной жизни возрос в 1960-1970-е годы с появлением информационных технологий. Потенциальные возможности наблюдения за гражданами с использованием мощных компьютерных систем породили спрос на определенные правила, регулирующие сбор и обработку персональной информации.
108
В 1972 г. Э. Ричардсон, бывший в то время советником президента Р. Никсона по вопросам здравоохранения, образования и социального обеспечения, создал комиссию по изучению влияния компьютерных технологий на частную жизнь. В 1973 г. после нескольких слушаний в конгрессе комиссия опубликовала отчет, наиболее важным последствием которого стал билль о правах в компьютерную эпоху, получивший название Кодекс легитимного использования информации (Code of Fair Information Practices). Этот Кодекс базиру-
ется на пяти принципах, распространяющихся на все системы обработки персональных данных:
−не должно существовать систем, накапливающих персональную информацию, сам факт существования которых является секретом;
−каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется;
−каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, с другой целью;
−каждый человек должен иметь возможность корректировать информацию о себе;
−каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они были собраны,
ипринять меры против их использования не по назначению. Впоследствии эти принципы легли в основу Акта о защите лич-
ной жизни 1974 г., который предусматривает обязанность каждого учреждения, занимающегося ведением системы данных, по запросу любого физического лица предоставлять ему доступ к его персональным данным, содержащимся в системе, а в необходимых случаях предоставлять ему возможность их корректировки.
В 1978 г. Организацией по экономическому сотрудничеству и
развитию (Organization for Economic Cooperation and Development – OECD) была создана экспертная группа, перед которой ставилась задача разработать набор базовых руководящих принципов защиты персональных данных в связи с их автоматизированной обработкой и трансграничной передачей. По итогам двухлетней работы экспертной группы совет OECD принял рекомендации в отношении руководящих принципов по защите неприкосновенности частной жизни и
109
трансграничных потоков персональных данных. Эти принципы получили развитие и конкретизацию в международной конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (1981), которая стала объединяющим началом для соответствующего национального законодательства.
Являясь членом OECD, США не выполняют основные принципы директивы о защите неприкосновенности частной жизни и международных обменов персональными данными во многих секторах, в том числе в сфере финансов и здравоохранения.
ВСША защита персональных данных гарантируется несколькими законами, в том числе законом «О неприкосновенности частной жизни» 1974 г., который установил свод правил «добросовестной информационной практики», определяющих порядок сбора, обработки и использования персональных данных, т.е. сведений о конкретных лицах, накапливаемых федеральными ведомствами.
Всферу действия закона входят личные сведения о гражданах, собранные в форме досье, которые группируются в системы досье того или иного правительственного учреждения. Под системой досье понимается группа документов, из которой та или иная информация
олице может быть извлечена посредством указания имени лица или какого-либо идентифицирующего номера или символа. Таким образом, в определении системы персональных данных главным критерием является способ извлечения информации: если такое извлечение сопровождается ссылкой на персональный идентификатор (например, имя, номер карточки социального обеспечения), то система подпадает под действие закона.
Согласно закону «О защите частной жизни человека» термин «данные» обозначает «любую единицу информации, подборку или группу таких единиц информации о физическом лице, которые ведутся каким-либо учреждением, включая сведения о его образовании, финансовых операциях, медицинской, архивной информации, прошлых судимостях или послужном списке, и которые содержат его имя или идентификационный номер, символ, или иную идентифицирующую деталь, закрепленную за физическим лицом, такую, как отпечатки пальцев или запись голоса, или фотография».
Субъектами информационных правовых отношений, возникающих в процессе сбора, хранения, обработки, использования и передачи персональных данных, являются:
110
−физические и юридические лица (как правило, физические), к которым относятся собираемые, хранимые, обрабатываемые, используемые и передаваемые данные;
−юридические и физические лица, осуществляющие действия по обработке, использованию или передаче персональных данных.
Как уже отмечалось выше, в информационном праве подавляющего большинства стран для обозначения таких лиц применяется термин «субъект данных» (data subject) – индивидуум, к которому относятся персональные данные и который может быть идентифицирован с их помощью. Он имеет право:
−быть информированным относительно того, содержат ли данные, хранящиеся в базе данных конкретного учреждения, персональную информацию, относящуюся к нему;
−подать запрос и получить копию документов, содержащих его персональные данные. Просьба о предоставлении информации субъекту данных должна излагаться в письменной форме, за доступ к ней должна быть выплачена определенная сумма. Перед выдачей документа ведомство должно удостовериться, что запрос сделан действительно субъектом данных или имеется разрешение непосредственного субъекта данных на доступ к его персонифицированной информации другого лица;
−требовать обеспечения защиты персональных данных о себе;
−прибегать к судебной защите нарушенного права субъекта данных.
Взаконодательстве о защите персональных данных других зарубежных стран основными категориями субъектов информационных отношений в области обработки и использования персональных данных, чей статус и терминологическое обозначение определяются видом осуществляемых ими действий по отношению к таким данным, являются:
−держатель персональных данных;
−пользователь персональных данных;
−обработчик персональных данных;
−сборщик персональных данных.
Вамериканском законодательстве о защите персональных данных таких понятий не существует.
При определении роли субъектов в защите персональных данных главным фактором является их заинтересованность в соблюдении