- •Тема 1. Основні категорії інформації як об’єкта інформаційного права
- •Основні поняття
- •Режими захисту інформації
- •Основні заходи і засоби захисту комп’ютерної інформації
- •Основні поняття комп’ютерної безпеки
- •Тема 2. Інформаційна безпека
- •Інформаційна безпека. Категорії інформаційної безпеки
- •Інформаційна безпека як складова національної безпеки країни
- •Основні складові інформаційної безпеки
- •Тема 3. Інформація як об’єкт інформаційного права
- •Особливості інформації з точки зору інформаційного права
- •Основні принципи інформаційного права
- •Законодавство України у галузі інформаційної діяльності
- •Законодавчі акти і нормативні документи щодо захисту інформації
- •Законодавчий рівень інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Правові основи захисту інформації
- •Рівні доступу до інформації з погляду законодавства. Вся інформація з точки зору права ділиться на декілька основних сегментів:
- •Тема 2. Інформаційне суспільство в Україні
- •1. Поняття «інформаційного суспільства»
- •3. Інформаційна структура України
Законодавчий рівень інформаційної безпеки
В справі забезпечення інформаційної безпеки успіх може принести тільки комплексний підхід. Ми вже вказували, що для захисту інтересів суб’єктів інформаційних відносин необхідно поєднувати заходи наступних рівнів:
законодавчого;
адміністративного (накази і інші дії керівництва організацій, пов’язані з інформаційними системами, що захищаються);
процедурного (заходи безпеки, орієнтовані на людей);
програмно-технічного.
Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Більшість людей не скоюють протиправних дій не тому, що це технічно неможливо, а тому, що це засуджується і (або) карається суспільством, тому, що так чинити не прийнято.
Ми розрізнятимемо на законодавчому рівні дві групи заходів:
заходи, направлені на створення і підтримку в суспільстві негативних (у тому числі з застосування покарань) відносин до порушень і порушників інформаційної безпеки (назвемо їх заходами обмежувальної спрямованості);
направляючі і координуючі заходи, що сприяють підвищенню освіченості суспільства в галузі інформаційної безпеки, що допомагають в розробці і поширенні засобів забезпечення інформаційної безпеки (заходи творчої спрямованості).
На практиці обидві групи заходів важливі в рівному ступені, але нам хотілося б виділити аспект усвідомленого дотримання норм і правив ІБ. Це важливо для всіх суб’єктів інформаційних відносин, оскільки розраховувати тільки на захист силами правоохоронних органів було б наївно. Необхідно це і тим, в чиї обов’язки входить карати порушників, оскільки забезпечити доведеність при розслідуванні і судовому розгляді комп’ютерних злочинів без спеціальної підготовки неможливо.
Найважливіше (і, ймовірно, найважче) на законодавчому рівні — створити механізм, що дозволяє погоджувати процес розробки законів з реаліями і прогресом інформаційних технологій. Закони не можуть випереджати життя, але важливо, щоб відставання не було надто великим, оскільки на практиці, крім інших негативних моментів, це приводить до зниження інформаційної безпеки.
Зарубіжне законодавство в галузі інформаційної безпеки
Основним законом Російської Федерації є Конституція, прийнята 12 грудня 1993 року. Відповідно до статті 24 Конституції, органи державній влади і органи місцевого самоврядування, їх посадовці зобов’язані забезпечити кожному можливість ознайомлення з документами і матеріалами, безпосередньо зачіпає його права і свободи, якщо інше не передбачене законом.
Стаття 41 гарантує право на знання фактів і обставин, що створюють загрозу для життя і здоров’я людей, стаття 42 — право на знання достовірної інформації про стан навколишнього середовища.
У принципі, право на інформацію може реалізовуватися засобами паперових технологій, але в сучасних умовах найбільш практичним і зручним для громадян є створення відповідними законодавчими, виконавчими і судовими органами інформаційних серверів і підтримка доступності і цілісності поданих на них відомостей, тобто забезпечення інформаційної безпеки серверів.
Стаття 23 Конституції гарантує право на особисту і сімейну таємницю, на таємницю листування, телефонних розмов, поштових, телеграфних і інших повідомлень, стаття 29 – право вільно шукати, отримувати, передавати, проводити і поширювати інформацію будь-яким законним способом. Сучасна інтерпретація цих положень включає забезпечення конфіденційності даних, у тому числі в процесі їх передачі комп’ютерними мережами, а також доступ до засобів захисту інформації.
В Цивільному кодексі Російської Федерації (спираючись на редакцію від 15 травня 2001 року) фігурують такі поняття, як банківська, комерційна і службова таємниця. Згідно статті 139, інформація складає службову або комерційну таємницю в випадку, коли інформація має дійсну або потенційну комерційну цінність через невідомість її третім особам, до неї немає вільного доступу на законній підставі, і власник інформації вживає заходи до охорони її конфіденційності. Мається на увазі, як мінімум, компетентність в питаннях ІБ і наявність доступних (і законних) засобів забезпечення конфіденційності.
Вельми просунутим у плані інформаційної безпеки є Кримінальний кодекс Російської Федерації (редакція від 14 березня 2002 року). Розділ 28 – “Злочини у сфері комп’ютерної інформації” — містить три статті:
стаття 272. Неправомірний доступ до комп’ютерної інформації;
стаття 273. Створення, використання і поширення шкідливих програм для ЕОМ;
стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі.
Окреслимо деякі закони інших країн (в первую чергу — США), оскільки тільки в США таких законодавчих актів близько 500.
Ключову роль грає американський “Закон про інформаційну безпеку” (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета – реалізація мінімально достатніх дій з забезпечення безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектру можливих дій.
Характерний, що вже на початку Закону називається конкретний виконавець — Національний інститут стандартів і технологій (НІСТ), що відповідає за випуск стандартів і керівництва, направленого на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, виконуваних за допомогою комп’ютерів. Таким чином, мається на увазі як регламентація дій фахівців, так і підвищення інформованості всього суспільства.
Згідно Закону, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов’язковим є і періодичне навчання всього персоналу таких ІС. НІСТ, у свою чергу, зобов’язаний проводити дослідження природи і масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування не тільки в державних системах, але і в приватному секторі.
Закон зобов’язав НІСТ координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо, щоб уникнути дублювання і несумісності.
Крім регламентації додаткових функцій НІСТ, Закон наказує створити при Міністерстві торгівлі комісію з інформаційної безпеки, яка повинна:
виявляти перспективні управлінські, технічні, адміністративні і фізичні заходи, що сприяють підвищенню ІБ;
видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.
З практичної точки зору важливий розділ 6 Закону, зобов’яже її урядові відомства сформувати план забезпечення інформаційної безпеки, направлений на те, щоб компенсувати ризики і запобігти можливому збитку від втрати, неправильного використання, несанкціонованого доступу або модифікації інформації у федеральних системах. Копії плану прямують в НІСТ і АНБ.
В 1997 році з’явилося продовження описаного закону — законопроект “Про вдосконалення інформаційної безпеки” (Computer Security Enhancement Act 1997, H.R. 1903), направлений на посилення ролі Національного інституту стандартів і технологій і спрощення операцій з криптозасобами.
В законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, що розробка і використання шифрувальних технологій повинна відбуватися на підставі вимог ринку, а не розпоряджень уряду. Крім того, тут відмічається, що за межами США є зіставні і загальнодоступні криптографічні технології, і це слід враховувати при виробленні експортних обмежень, щоб не знижувати конкурентоспроможність американських виробників апаратного і програмного забезпечення.
Для захисту федеральних ІС рекомендується більш широко застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонується оцінити можливості загальнодоступних зарубіжних розробок.
Дуже важливий розділ 3, в якому від НІСТ потрібно за запитами приватного сектора готувати добровільні стандарти, керівництво, засоби і методи інфраструктури відкритих ключі, що дозволяють сформувати недержавну інфраструктуру, придатну для взаємодії з федеральними ІС.
В розділі 4 особлива увага звертається на необхідність аналізу засобів і методів оцінки вразливих місць інших продуктів приватного сектора в галузі ІБ.
Заохочується розробка правил безпеки, нейтральних по відношенню до конкретних технічних рішень, використання у федеральних ІС комерційних продуктів, участь в реалізації шифрувальних технологій, що дозволяє зрештою сформувати інфраструктуру, яку можна розглядати як резервну для федеральних ІС.
Важливо, що відповідно до розділів 10 і далі передбачається виділення конкретних (і чималих) сум, називаються точні терміни реалізації програм партнерства і проведення досліджень інфраструктури з відкритими ключами, національної інфраструктури цифрових підписів. Зокрема, передбачається, що для центрів, що засвідчують, повинні бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.
В 2001 році був схвалений Палатою представників і переданий в Сенат новий варіант розглянутого законопроекту – Computer Security Enhancement Act 2001 (H.R. 1259 RFS). В цьому варіанті важливо як те, що, в порівнянні з попередньою редакцією, було прибрано, так і те, що додалося.
За чотири роки (1997 – 2001 роки) на законодавчому і інших рівнях інформаційної безпеки США було зроблено багато. Пом’якшені експортні обмеження на криптозасоби (в січні 2000 року). Сформована інфраструктура з відкритими ключами. Розроблена велика кількість стандартів (наприклад, новий стандарт електронного цифрового підпису – FIPS 186-2, січень 2000 року). Все це дозволило не загострювати увагу на криптографії як такій, а зосередитися на одному з її найважливіших додатків – аутентифікації, розглядаючи її за опрацьованою на криптозасобах методикою. Очевидно, що, незалежно від долі законопроекту, в США буде сформована національна інфраструктура електронної аутентифікації. В даному випадку законотворча діяльність йде в ногу з прогресом інформаційних технологій.
Програма безпеки, передбачає економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС згадується в законодавстві США неодноразово. Згідно пункту 3534 (“Обов’язки федеральних відомств”) підрозділу II (“Інформаційна безпека”) розділу 35 (“Координація федеральної інформаційної політики”) рубрики 44 (“Суспільні видання і документи”), така програма повинна включати:
періодичну оцінку ризиків з розглядом внутрішніх і зовнішніх загроз цілісності, конфіденційності і доступності систем, а також даних, асоційованих з критично важливими операціями і ресурсами;
правила і процедури, що дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;
навчання персоналу з метою інформування про існуючі ризики і про обов’язки, виконання яких необхідне для їх нейтралізації;
періодичну перевірку і переоцінку ефективності правил і процедур;
дії при внесенні істотних змін в систему;
процедури виявлення порушень інформаційній безпеки і реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути значних втрат; організувати взаємодію з правоохоронними органами.
Звичайно, в законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони, АНБ.
У законодавстві Німеччини виділимо досить розгорнутий (44 розділи) Закон про захист даних (Federal Data Protection Act December 20, 1990 (BGB1/І 1990 S.2954), amended law September 14, 1994 (BGB1. І S. 2325)). Він цілком присвячений захисту персональних даних.
Як, ймовірно, й у всіх інших законах аналогічної направленості, в даному випадку встановлюється пріоритет інтересів національної безпеки над збереженням таємниці приватного життя. В іншому права особи захищені вельми ретельно. Наприклад, якщо співробітник фірми опрацьовує персональні дані на користь приватних компаній, він дає підписку про нерозголошування, яка діє і після переходу на іншу роботу.
Державні установи, що зберігають і опрацьовують персональні дані, несуть відповідальність за порушення таємниці приватного життя “суб’єкта даних”, як мовиться в Законі. В матеріальному вираженні відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.
З законодавства Великобританії згадаємо сімейство так званих добровільних стандартів BS 7799, що допомагають організаціям на практиці сформувати програми безпеки. Відмітимо, що вони дійсно працюють, не дивлячись на “добровільність” (або завдяки ній?).
В сучасному світі глобальних мереж законодавча база повинна бути узгоджена з міжнародною практикою. В цьому плані повчальний приклад Аргентини. В кінці березня 1996 року компетентними органами Аргентини був арештований Хуліо Цезар Ардіта, 21 року, житель Буенос-Айреса, системний оператор електронної дошки оголошень “Крик”, відомий в комп’ютерному підпіллі під псевдонімом “El Griton”. Йому ставилися у вину систематичні вторгнення в комп’ютерні системи ВМС США, НАСА, більшості американських університетів, а також в комп’ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайвані. Проте, не дивлячись на тісну співпрацю компетентних органів Аргентини і США, Ардіта був відпущений без офіційного висунення звинувачень, оскільки за аргентинським законодавством вторгнення в комп’ютерні системи не вважається злочином. Крім того, через принцип “подвійної кримінальності”, що діє в міжнародних правових відносинах, Аргентина не може видати хакера американській владі. Справа Ардіта показує, яким може бути майбутнє міжнародних комп’ютерних вторгнень за відсутності загальних або хоча б двосторонніх угод про боротьбу з комп’ютерною злочинністю.