Навігація
Головна
ПОСЛУГИ
Авторизація/Реєстрація
Реклама на сайті
 
Головна arrow Політологія arrow Забезпечення інформаційної безпеки держави
< Попередня   ЗМІСТ   Наступна >

Нормативно-правове регулювання забезпечення інформаційної безпеки США

Ефективність ЗІБ США, так само як кожної держави світу в першу черги залежить від досконалості нормативно-правового регулювання діяльності відповідної системи державних та громадських органів, а також неурядових організацій.

Законодавство США в сфері ЗІБ утворює сукупність федеральних законів, законів штатів та нормативних актів, які створюють правову основу для формування і проведення державної політики в сфері ІБ. Законодавства штатів у сфері ІБ досить різноманітне, оскільки нормативні акти окремих штатів дуже різняться між собою.

Американський законодавець значну увагу приділив питанням забезпечення безпеки інформації в державних комп'ютерних системах (закони США "Про комп'ютерну безпеку" та "Про удосконалення інформаційної безпеки"), протидії комп'ютерній злочинності (закони "Про комп'ютерне шахрайство та зловживання" та "Про зловживання комп'ютерами"), регулювання співвідношення прав громадян на отримання інформації (закони "Про свободу інформації" та "Про висвітлення діяльності уряду") та конфіденційності їх приватного життя (закон "Про охорону персональних даних").

Розглядаючи положення законодавства США в зазначеній сфері, можна зробити висновок про те, що воно спрямоване на одночасне забезпечення права громадян на інформацію та конфіденційність їх приватного життя, а з іншого – на ЗІБ, як важливої складової національної безпеки держави, тобто зорієнтовано на збереження балансу інтересів особи, суспільства та держави.

Перший закон у сфері ЗІБ держави був прийнятий у США ще у 1906 р.: це був Закон "Про захист інформації". На сучасному етапі правову основу для формування і проведення державної політики США в сфері ІБ в інтересах забезпечення національної безпеки держави утворюють понад 500 федеральних законів та значна кількість законів штатів.

З метою визначення основних напрямів ЗІБ США розглянемо наступні законодавчі акти – закони "Про свободу інформації", "Про охорону персональних даних", "Про інформаційну таємницю", "Про висвітлення діяльності уряду", "Про комп'ютерну безпеку", "Про забезпечення безпеки ЕОМ", "Про таємність електронного зв'язку", "Про комп'ютерне шахрайство та зловживання", "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання", "Про підвищення кібернетичної безпеки", "Про посилення повноважень спецслужб", "Про патріотизм", "Про боротьбу з тероризмом", "Про внутрішню безпеку", "Про реформування американської розвідки та запобігання терористичним актам", кримінальні кодекси штатів, директиви Президента США та відповідні стратегії США в інформаційній сфері: Національну стратегію боротьби з тероризмом, Національну стратегію фізичного захисту критичної інфраструктури та Національну стратегію безпеки кібернетичного простору.

Правове регулювання доступу до офіційних документів уряду США передбачено в Законі США "Про свободу інформації" (Freedom of Information Act), який було прийнято в 1966 р. Згідно із положеннями цього закону уряд США зобов'язаний оприлюднювати правила, кінцеві рішення по спірним питанням, політичні заяви та інші правові джерела. Така законодавча позиція є гарантією від створення "таємного (закритого) законодавства".

Дія Закону США "Про свободу інформації" поширюється на всі міністерства та відомства, незалежні комісії та інші комітети, управління та відділи, які входять до складу виконавчої гілки влади. Відповідно до цього Закону, будь-який з подібних закладів зобов'язаний оприлюднювати інформацію, що міститься в кожному обліковому документі. При цьому важливою особливістю Закону є закріплене у ньому право приватних осіб, які намагаються отримати певний документ, не надавати пояснення, для чого він їм потрібен.

Разом з цим, цей закон регулює межі права громадськості на доступ до урядової інформації, коли воно поступається місцем іншим цінностям. Зокрема, головне виключенням в зазначеному законі є зустрічне право органів виконавчої влади засекретити відповідним указом чи іншим чином документи з метою збереження у таємниці змісту матеріалів, які стосуються оборони держави або її зовнішньої політики, в інтересах забезпечення національної безпеки США.

У 1976 р. Конгрес США прийняв Закон "Про висвітлення діяльності уряду", який відкрив громадськості доступ до всіх зборів, які проводяться міжвідомчими федеральними органами влади. Закон передбачає відкритість для громадськості всіх засідань колегіальних органів адміністративних агентств, які складаються з осіб, які призначаються президентом, щодо яких приймаються конкретні рішення.

Водночас передбачені в Законі виключення зі сфери застосування Закону США "Про висвітлення діяльності уряду" побудовані аналогічно виключенням Закону "Про свободу інформації", та стосуються насамперед інформації, яка має секретний характер й відноситься до сфери забезпечення національної безпеки та зовнішньополітичних аспектів діяльності уряду.

Важливим аспектом правового регулювання ЗІБ США є забезпечення конфіденційності приватного життя громадян. Особливу роль в регулюванні цього питання відіграє Закон США "Про охорону персональних даних" який був прийнятий у 1974 р.

Цей Закон містить в собі два положення, які мають принципово важливе значення з погляду захисту недоторканності життя особи. По-перше, у преамбулі Закону право на приватність вперше визначене як "особисте і фундаментальне право, яке охороняється Конституцією США" і тим самим офіційно прирівняне до основних цивільних прав і свобод. По-друге, закон встановлює заборону на збір і збереження інформації про те, як індивід здійснює свої права, передбачені першою поправкою до конституції (свободу слова і друку, свободу віросповідання, свободу зборів і подачі петицій), за винятком випадків, коли це прямо передбачено законом або дозволене самим індивідом, або коли це має безпосереднє відношення до правоохоронної діяльності.

Закон США "Про охорону персональних даних" закріплює за індивідом – суб'єктом персональних даних – комплекс прав, які дозволяють йому здійснювати превентивний контроль за тим, як його право на інформаційну приватність дотримується федеральними відомствами і їх посадовими особами. До їхнього числа відносяться: право бути обізнаним про існування системи персональних даних; право бути обізнаним про цілі збору й обробки інформації; право на доступ до своїх персональних даних, на їхнє вивчення і отримання копії всіх даних чи їхньої частини; право вимагати внесення змін і доповнень у свої персональні дані.

Одночасно закон накладає на урядові відомства ряд зобов'язань і обмежень, які стосуються збору і використання персональної інформації:

  • 1) відомства правомочні накопичувати тільки таку інформацію про індивіда, яка має безпосереднє відношення до їх компетенції. Дані, які накопичуються, повинні відповідати вимогам "вірогідності, відповідності, своєчасності і повноти";
  • 2) встановлюється загальний режим конфіденційності персональних даних: їхнє розкриття чи передача третім особам або іншим відомствам дозволяється лише за вимогою чи з письмовою згодою суб'єкта персональних даних. Такий режим покликаний забезпечити дотримання одного з основних принципів інформаційної практики: інформація, отримана для визначеної мети, не може бути використана для інших цілей.

Разом з тим закон передбачає низку виключень із правила конфіденційності. Одне з них – застереження щодо "рутинного використання" – створює широкі можливості для порушення режиму конфіденційності й обміну персональною інформацією між відомствами. Це застереження дозволяє відомству використовувати персональні дані і розкривати їх для цілей, сумісних (але не обов'язково співпадаючих) з тією метою, для якої була зібрана інформація.

Саме застереження про "рутинне використання" дозволили впровадити в інформаційну практику відомств комп'ютерну верифікацію – проведення за допомогою комп'ютерних технологій зіставлення двох чи більш систем персональних даних. Таке зіставлення дозволяє об'єднати наявну в різних системах персональну інформацію в єдиний банк даних і одержати більш повний "інформаційний портрет" індивіда.

Зазначений Закон США "Про охорону персональних даних" був одним з перших у світі законів про захист персональних даних і послужив відправним пунктом для законотворчості в інших індустріальних державах. Однак, на думку численних критиків, дія принципів, покладених в його основу, багато в чому послаблюється нечіткістю формулювань, що дозволяють відомствам обходити незручні для них вимоги закону, і численними виключеннями. Окрім того, комп'ютерні технології пішли далеко вперед, і правове регулювання вже не відповідає потребам забезпечення інформаційної приватності в сучасних умовах автоматизованої обробки персональних даних. Саме тому закон потребує перегляду й оновлення.

У 1977 р. у США вперше був розроблений законопроект "Про захист федеральних комп'ютерних систем", який передбачав кримінальну відповідальність за:

  • – уведення свідомо помилкових даних у комп'ютерну систему, незаконне використання комп'ютерних пристроїв;
  • – внесення змін у процеси оброблення інформації або порушення цих процесів, розкрадання коштів, цінних паперів, майна, послуг, цінної інформації, здійснені з використанням можливостей комп'ютерних технологій або комп'ютерної інформації.

На сучасному етапі важливу роль у сфері нормативно-правового регулювання ЗІБ США відіграє Закон "Про комп'ютерну безпеку". Головна мета цього Закону полягає в реалізації без обмежень необхідних та достатніх заходів із забезпечення безпеки інформації у федеральних комп'ютерних системах. Відповідальним за виконання вимог Закону визначений Національний інститут стандартів і технологій (NIST), який забезпечує випуск стандартів і посібників, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і підробок, які виконуються за допомогою комп'ютерів. Тобто в Законі йдеться, як про регламентацію дій фахівців у сфері комп'ютерних технологій, так і про підвищення інформованості всього суспільства.

Відповідно до вимог Закону, всі оператори федеральних інформаційних систем, які мають конфіденційну інформацію, повинні сформувати плани забезпечення їх безпеки. Обов'язковою вимогою е періодичне навчання всього персоналу. В свою чергу NIST зобов'язаний проводити дослідження природи і масштабу можливих загроз, виробляти економічно виправдані заходи захисту. Результати досліджень NIST розраховані на застосування як у державних системах, так і в приватному секторі.

Закон зобов'язує NIST координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо з метою уникнення дублювання і несумісності. Також Закон передбачає створення при Міністерстві торгівлі США комісії з інформаційної безпеки, яка повинна: приймати перспективні управлінські, технічні, адміністративні і фізичні заходи, які сприяють підвищенню ІБ; видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.

Досить важливими є положення 6-го розділу Закону, які зобов'язують всі урядові відомства формувати плани ЗІБ, спрямовані на те, щоб компенсувати ризики і запобігати можливим збиткам від утрати, неправильного використання, несанкціонованого доступу чи модифікації інформації у федеральних системах. Копії планів направляються в NIST і АНБ.

Уряд США під час реалізації своєї політики в області захисту інформації виходить з того, що перехоплення іноземними державами конфіденційної державної і приватної інформації, а також великих обсягів відкритої інформації, переданих за допомогою урядових і комерційних мереж телекомунікацій, після їхньої обробки, зіставлення й об'єднання розрізнених даних призводить до розкриття державних секретів. Тому, починаючи із середини 1980-х років, захист ліній зв'язку й автоматизованих систем стає важливим завданням компетентних державних органів США.

Сфера комп'ютерних систем виступає важливою складовою ЗІБ СІЛА. З метою ефективної протидії комп'ютерній злочинності в 1984 р. було прийнято Закон США "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання" (Counterfeit Access Device and Computer Fraud and Abuse Act) – основний нормативно-правовий акт, що встановлює кримінальну відповідальність за злочини у сфері комп'ютерної інформації. Згодом він неодноразово доповнювався (1986, 1988, 1989, 1990, 1994 і 1996 pp.), а нині включений як § 1030 у Титул 18 Зводу законів США.

Цей закон визнав злочином отримання несанкціонованого доступу (або перевищення його меж) до "комп'ютера федерального уряду" – будь-якого захищеного комп'ютера, який використовується урядовими або підпорядкованими йому фінансовими установами:

  • – комп'ютер, що перебуває у винятковому користуванні уряду або фінансової організації, чи комп'ютер, функціонування якого було порушено під час роботи в інтересах уряду або фінансової організації;
  • – комп'ютер, що є частиною системи чи мережі, елементи якої розташовані більш ніж в одному штаті США.

В чинній редакції закон як § 1030 у Титул 18 Зводу законів США установлює відповідальність за сім основних протиправних діянь, якими визнаються:

  • – комп'ютерне шпигунство, шо полягає в несанкціонованому доступі до інформації або перевищенні його меж, а також отриманні інформації, що стосується державної безпеки, міжнародних відносин і питань атомної енергетики (§1030 (а) (1));
  • – несанкціонований доступ до інформації з урядового відомства США з будь-якого захищеного комп'ютера, котра має відношення до внутрішньої або міжнародної торгівлі, або перевищення меж такого доступу, а також одержання інформації з фінансових записів банківської установи, емітента карт чи інформації про споживачів, що містяться у файлі управління обліку споживачів (§ 1030(a) (2));
  • – вплив на комп'ютер, що перебуває у виключному користуванні урядового відомства США, або порушення нормального функціонування комп'ютера, котрий повністю чи частково використовується урядом США (§ 1030(a)(3));
  • – шахрайство з використанням комп'ютера – доступ, здійснений із шахрайськими намірами, і використання комп'ютера з метою отримання будь-якої цінності за допомогою шахрайства, включаючи незаконне використання машинного часу вартістю більше п'яти тисяч доларів протягом року, тобто без оплати користування комп'ютерних мереж і серверів (§ 1030(a) (4));
  • – умисне або необережне пошкодження захищених комп'ютерів (§ 1030(a) (5));
  • – шахрайство шляхом торгівлі комп'ютерними паролями або аналогічною інформацією, що дозволяє одержати несанкціонований доступ, якщо така торгівля впливає на торговельні відносини між штатами та з іншими державами або на комп'ютер, що використовується урядом США (§ 1030(a)(6));
  • – погрози, вимагання, шантаж й інші протиправні діяння, вчиненні з використанням комп'ютерних технологій (§ 1030(a) (7)).

Відповідальність за комп'ютерні злочини в інформаційному просторі встановлена й іншими параграфами Зводу законів США. Серед них слід виділити §1029 Титулу 18, яким передбачена відповідальність за торгівлю викраденими або підробленими пристроями доступу, які можуть бути використані для отримання цінностей (грошей, товарів чи послуг). У свою чергу в §1361 Титулу 18 передбачено відповідальність за умисне пошкодження майна, устаткування, контактних пунктів, ліній або систем зв'язку.

Великого значення американський законодавець надає також недоторканності особистого життя громадян і захисту персональних даних. Так, зокрема, згідно з § 2511 Титулу 18 Зводу законів США караються перехоплення й розголошення повідомлень, переданих по телеграфу, усно або з використанням ЕОМ.

Окрім того, спеціально встановлена кримінальна відповідальність за порушення конфіденційності електронної пошти шляхом незаконного доступу до збережених повідомлень: у §2701 Титулу 18 Зводу законів США установлена відповідальність за умисне одержання або видозмінення повідомлень, котрі зберігаються в пам'яті комп'ютера або комп'ютерної системи, а також за створення перешкод для санкціонованого доступу до таких повідомлень.

Відповідальність за інші злочини з використанням комп'ютерної інформації або складових інформаційного комп'ютерного простору передбачає § 1343 Титулу 18 Зводу законів США. Його нормами, зокрема, передбачена можливість притягнення до кримінальної відповідальності за передання повністю або частково дротовими засобами зв'язку, по радіо або телебаченню повідомлення з метою використання для подальшого вчинення шахрайства. Приписи § 1343 підлягають застосуванню у випадках, коли термінали, використовувані для ведення шахрайських дій, обмінюються інформацією за допомогою каналів електрозв'язку.

В свою чергу Закон США "Про таємність електронного зв'язку" 1986 р. (Electronic Communications Privacy Act) у Розділі 2701 містить визначення нового виду злочину – "умисного проникнення до інформаційних систем", який полягає у навмисному несанкціонованому доступі до системи з використанням засобів, які надаються установами електронної комунікації або ж у навмисному порушенні системи перевірки права доступу таких засобів.

При цьому таке "умисне проникнення" означає, що злочинець своїми діями отримав, змінив інформацію, яка зберігається в електронному виді у даній системі, або зашкодив санкціонованому доступу до неї.

Окрім того, Законом США "Про комп'ютерне шахрайство та зловживання" (Computer Fraud and Abuse Act) 1986 p. визначаються злочинними дії, які направлені на навмисне отримання несанкціонованого доступу до комп'ютера федерального уряду США та порушення його роботи. Згідно з цим Законом, протиправними визнаються будь-які дії, пов'язані з розголошенням перехоплених паролів, отриманням або ознайомленням з будь-якою інформацією за допомогою комп'ютерів, які містять дані федерального уряду.

Кримінальна відповідальність настає, якщо зміна та знищення інформації спричинили збитки, сума яких перевищує 1 тис. дол. Цим законодавчим актом також поширюється юрисдикція федерального суду на злочини, які підпадають під сферу дії кримінального законодавства штатів у приватному секторі. Крім цього, Законом встановлено кримінальну відповідальність за модифікацію, знищення або приховування інформації, яка отримана при несанкціонованому вході у комп'ютерну систему.

Федеральний суд може застосовувати до злочинців штраф у розмірі до 250 тис. доларів США та ув'язнення на строк до п'яти років.

Закон США "Про комп'ютерну безпеку" (Computer Security Act) 1987 р. покликаний забезпечити посилення безпеки важливої інформації, яка зберігається у федеральних комп'ютерних системах. Такою системою визначається "комп'ютерна система, яка функціонує у федеральній установі, у контрагента федеральної установи або в іншій організації, яка обробляє інформацію, використовуючи комп'ютерну систему на користь федерального уряду для виконання федеральних функцій". Цей закон зобов'язав NIST розробити вимоги щодо безпеки усіх урядових комп'ютерних систем США, які обробляють важливі матеріали, а також затвердити програми навчання, стандарти та графіки роботи користувачів таких систем.

Закон визначає пріоритет національних інтересів при вирішенні питань безпеки інформації (у тому числі і приватної). Цей Закон декларує, що вимоги державних органів щодо забезпечення необхідного рівня захисту інформації можуть бути поширені на будь-яку "важливу інформацію". При цьому встановлено, що "важливою" є така інформація, "втрата якої, неправильне використання, несанкціонована зміна якої чи доступ до якої можуть призвести до небажаних впливів на національні інтереси".

Окрім того, Закон встановлює нову категорію інформації обмеженого доступу – "несекретна, але важлива з погляду національної безпеки". До цієї категорії віднесено практично всю несекретну інформацію урядових відомств, а також велику частину даних, які циркулюють чи обробляються в інформаційно-телекомунікаційних системах приватних фірм і корпорацій, що працюють за урядовими замовленнями.

У 1997 р. з'явився законопроект "Про удосконалення комп'ютерної безпеки" (Computer Security Enhancement Act), спрямований на посилення ролі Національного інституту стандартів і технологій (NIST) і спрощення операцій із засобами криптографічного захисту.

У законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, а розробка і використання шифрувальних технологій повинні відбуватися на підставі ринкового попиту, а не розпоряджень уряду. Крім того, відзначалось, що поза межами США існують сумісні та загальнодоступні технології криптографічного захисту, і це варто враховувати при розробці експортних обмежень, щоб не знижувати конкурентоздатність американських виробників апаратного і програмного забезпечення. Для захисту федеральних інформаційних систем рекомендувалося більш широко застосовувати технологічні рішення, засновані на розробках приватного сектору. Крім того, пропонувалося оцінити можливості доступних закордонних розробок.

Важливим є Розділ 3, у якому від (NIST) вимагається на запит приватного сектора готувати стандарти, посібники, засоби і методи для інфраструктури відкритих ключів, які дозволяють сформувати недержавну інфраструктуру, сумісну з федеральними інформаційними системами.

У Розділі 4 особлива увага приділялася необхідності аналізу засобів і методів оцінки уразливих місць інших продуктів приватного сектора в сфері інформаційної безпеки.

В законопроекті віталась розробка правил безпеки, нейтральних щодо конкретних технічних рішень, використання у федеральних інформаційних системах комерційних продуктів, участь у реалізації шифрувальних технологій, що дозволяє сформувати інфраструктуру, яку можна розглядати як резервну для федеральних інформаційних систем. Передбачалося, що для засвідчувальних центрів мають бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.

Після трагічних подій 11 вересня 2001 року Президентом і Урядом США було здійснено низку конкретних кроків щодо захисту критичної інформаційної інфраструктури держави. Зокрема, наприкінці вересня 2001 року Президент США підписав Закон "Про посилення повноважень спецслужб", відповідно до якого несанкціоноване проникнення в державні комп'ютерні мережі з метою отримання вигоди чи нанесення шкоди, визначається однією з форм тероризму. Крім того, Закон значно спрощує процедуру моніторингу мережі Інтернет ФБР США.

Відповідно до цього Закону, Федеральний прокурор чи прокурори штатів отримують повноваження санкціонувати застосування (на період до двох діб) спеціальної системи збору інформації "DCS 1000", розробленою ФБР для перегляду змісту повідомлень електронної пошти і спостереження за Інтернетом.

Також згідно з цим Законом усуваються правові бар'єри, які обмежували доступ ФБР до матеріалів електронного перехоплення, що проводилися Агентством національної безпеки та іншими органами розвідувального співтовариства США. Відповідно до цього закону провайдери Інтернет послуг і телефонних компаній також зобов'язані надавати інформацію на вимогу ФБР про своїх клієнтів, в тому числі конфіденційного характеру.

У жовтні 2001 року Конгресом США був прийнятий Закон "Про патріотизм" (USA Patriotic Act), спрямований на протидію тероризму, який надав уряду та поліції широкі повноваження по нагляду за громадянами. Цей Закон включає серію заходів, які розширюють повноваження поліції та федеральних агентств.

Зокрема, цей Закон розширює повноваження ФБР з підслуховування та електронного слідкування, дає нове визначення поняття "тероризм" та посилює покарання за нього. Крім того, зазначеним законом окреслюється поняття "критична інфраструктура", яке визначається як "сукупність фізичних чи віртуальних систем і засобів, важливих для США в такій мірі, що їхній вихід з ладу чи знищення можуть призвести до згубних наслідків в галузі оборони, економіки, охорони здоров'я і безпеки нації".

Закон США "Про боротьбу з тероризмом" 2001 р. (Combating Terrorism Act) розширив можливості поліції та спецслужб по прослуховуванню приватних переговорів і моніторингу мережі Інтернет. Тепер для організації стеження за користувачами глобальної мережі ФБР не потрібно одержувати

дозвіл суду, за умови обгрунтування агентом запиту будь-який прокурор США може санкціонувати застосування системи стеження "Carnivore", яка знаходиться на озброєнні ФБР.

До прийняття цього Закону використання "Carnivore" жорстко регламентувалося й контролювалося судовими органами США. Тепер прокурор може дозволити спостереження за особою протягом 48 годин без санкції суду. Підгрунтям для застосування зазначеної вище системи може бути одна з двох обставин: існування "нагальної загрози" інтересам національної безпеки США або атака на функціональну дієздатність комп'ютера, який знаходиться під захистом.

Фактично ФБР отримало можливість проводити таємні операції в країні з дотриманням мінімальних вимог за правовими стандартами США. Для цього достатньо наявності у ФБР "вагомих підстав" вважати, що підозрювані є членами терористичної групи або агентами розвідувальної служби іноземної держави.

Окрім того, відповідно до Закону при Міністерстві оборони США створене нове Бюро оперативно-інформаційного реагування. На нього покладено завдання побудувати на основі останніх технологій своєрідну пошукову систему, яка з метою виявлення підозрілих осіб чи груп зможе мати доступ практично до всіх існуючих баз даних. Контрольованою стала і суто особиста інформація: електронна пошта, дані анкет, кредитні та телефонні рахунки осіб тощо.

Значним здобутком американського законодавця в сфері національної безпеки держави стало прийняття 2S листопада 2002 року Закону США "Про внутрішню безпеку" (Homelend Security Act). Відповідно до Закону урядові структури, які займалися забезпеченням комп'ютерної безпеки перейшли під контроль новоутвореного Міністерства внутрішньої безпеки (Department of the Homeland Security).

Також в інтересах захисту інформаційних ресурсів у ст. 225 Закону окреслені додаткові заходи, направлені на посилення відповідальності за злочини у сфері високих технологій, які в свою чергу нормативно оформлені у вигляді Закону США "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act). Крім того, відповідно до ст. 224 Закону "Про внутрішню безпеку" засновується так звана "мережева гвардія" (NET Guard) з числа місцевих добровольців, які володіють відповідними знаннями і необхідними навичками для ліквідації наслідків атак (вторгнень) терористів на інформаційні ресурси і мережі зв'язку.

Закон "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act) було прийнято у листопаді 2002 року з метою захисту критичної інфраструктури США. Цей Закон передбачає посилення заходів спрямованих проти хакерів, у т.ч. покарання за злам комп'ютерних систем, включаючи довічне ув'язнення. Крім того, у відповідності з Законом Інтернет-провайдери зобов'язані надавати інформацію про клієнтів за першою вимогою поліції.

Також Закон розширює права поліцейських щодо перехоплення інформації: прослуховування телефонних переговорів та перлюстрацію електронних повідомлень вони відтепер можуть здійснюватися без дозволу суду. Проте, правоохоронці зможуть продивлятися лише заголовки електронної пошти, вивчати телефонні номери, IP-адреси та URL сайтів, що відвідуються.

У 2005 р. набрав сили закон "Про реформування американської розвідки та запобігання терористичним актам" 2004 р., який передбачав найбільшу за останні 50 років реорганізацію розвідувального співтовариства США. Керівником всіх 16 спецслужб, які в нього входять, та координатором їх діяльності став директор національної розвідки США.

Відповідно до положень закону, Національний центр по боротьбі з тероризмом, який раніше входив до структури ЦРУ, став міжвідомчим органом. Також на всі спецслужби США покладено обов'язок ділитися інформацією з іншими членами розвідувального співтовариства та з правоохоронними органами на місцях. При цьому були усунуті всі правові перепони між розвідкою та контррозвідкою, військовими та цивільними розвідувальними службами США, а також обмеження щодо стеження за громадянами власної країни та таємних операцій спецслужб за кордоном.

Поряд із наведеними законодавчими актами США, на нашу думку, слід також звернути увагу на нормативні акти Ради національної безпеки та Президента США, які регулюють питання ЗІБ США.

Найбільш важливі стратегічні питання, які визначають національну політику в сфері захисту інформації, як правило, вирішуються на рівні Ради національної безпеки США, рішення якої оформляються у вигляді відповідних директив Президента США. Серед таких директив слід виділити наступні:

  • – директива PD/NSC-24 "Політика в області захисту систем зв'язку" 1977 р., в якій уперше підкреслюється необхідність захисту важливої несекретної інформації в забезпеченні національної безпеки;
  • – директива SDD-145 "Національна політика США в області безпеки систем зв'язку автоматизованих інформаційних систем" 1984 р., яка стала юридичною основою для покладання на АНБ США функції захисту інформації і контролю за безпекою на каналах зв'язку та в обчислювальних і складних інформаційно-телекомунікаційній системах. Цією же директивою на АНБ США покладена відповідальність за сертифікацію технологій, систем і устаткування щодо захисту інформації в інформаційно-телекомунікаційних системах держави, а також за ліцензування діяльності в галузі захисту інформації.

Національна інструкція про забезпечення безпеки зв'язку США № 6002, прийнята в червні 1984 року, встановлює, що потреби в забезпеченні безпеки зв'язку державних підрядчиків визначаються компетентними державними органами. Ці ж органи забезпечують контроль за дотриманням вимог по безпеці зв'язку.

Інструкція дозволяє використовувати державним підрядчикам шифрувальну техніку, яка виготовлена на замовлення Агентства національної безпеки, або таку, що пройшла сертифікацію в цьому агентстві. При цьому підприємства, які виготовляють засоби шифрування не повинні знаходитися в іноземній власності чи під іноземним впливом. Крім того, ці підприємства повинні бути допущені до роботи із секретною інформацією відповідно до встановленого порядку. Вивезення будь-яких криптографічних пристроїв зі Сполучених Штатів можливий тільки з дозволу АНБ США. Одночасно директива Президента держави "Про управління шифруванням у суспільстві" (Public Encryption Management) однозначно встановлює, що криптографічні засоби, які вивозяться, не повинні служити перешкодою для органів електронної розвідки США в процесі здобування ними інформації.

Окрім наведених підзаконних нормативних актів США у сфері ЗІБ необхідно звернути увагу на Програму безпеки, яка передбачає економічно виправдані захисні заходи, синхронізовані з життєвим циклом інформаційних систем. Відповідно до п. 3534 ("Обов'язки федеральних відомств") підрозділу II ("Інформаційна безпека") розділу 35 ("Координація федеральної інформаційної політики") рубрики 44 ("Суспільні видання і документи"), така програма повинна включати:

  • – періодичну оцінку ризиків з урахуванням наявних та потенційних загроз цілісності, конфіденційності й доступності систем, а також даних, асоційованих із критично важливими операціями і ресурсами;
  • – правила і процедури, які дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;
  • – навчання персоналу з метою інформування про існуючі ризики і про обов'язки, виконання яких необхідно для їх (ризиків) нейтралізації;
  • – періодичну перевірку і (пере-) оцінку ефективності правил і процедур, їх дії при внесенні істотних змін у систему;
  • – процедури виявлення порушень ІБ і реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути великих втрат; організувати взаємодію з правоохоронними органами.

Враховуючи викладене вище, можна зробити висновок про те, що після подій 11 вересня 2001 року проблема ЗІБ набула пріоритетного значення в системі національної безпеки США. Зокрема Президентом та урядом країни було здійснено низку кроків по розробленню та запровадженню адекватних та дієвих механізмів та сутнісно-нових комплексних підходів (наприклад, Стратегія кібернетичного простору) за участі, як державного, так і приватного сектору щодо подолання існуючих загроз та викликів в інформаційній сфері.

При цьому, перш за все, необхідно виділити Указ Президента США "Захист критичної інфраструктури в інформаційну добу" за №13231, спеціально спрямований на вирішення проблем ЗІБ держави. Відповідно до цього указу був створений Комітет з питань захисту критичної інфраструктури при Президентові США. Основна функція комітету полягає в координації усіх федеральних програм в області ІБ незалежно від їхньої відомчої приналежності.

Разом з тим, принцип підвищеної секретності, який вже став основою боротьби з тероризмом, та отримане ФБР право на збирання всередині держави даних, які стосуються не лише безпосередньо розслідування, певним чином порушують законодавчо закріпленні основні свободи людини і громадянина.

Однак, найголовнішим у формуванні нової парадигми безпеки стало прийняття трьох нових директивних документів направлених на захист інтересів внутрішньої безпеки: Національної стратегії боротьби з тероризмом (The National Strategy for Combating Terrorism), Національної стратегії фізичного захисту критичної інфраструктури (The National Strategy for The Physical Protection of Critical Infrastructures and Key Assets) та Національної стратегії безпеки кібернетичного простору (The National Strategy to Secure Cyberspace).

Зазначені стратегії вперше офіційно визнали уразливість та повну залежність інфраструктури США від стану захищеності інформаційних систем і мереж. Вони націлюють уряд і суспільство на створення Єдиної національної системи реагування на кібернетичні напади (National Cyberspace Security Response System), як сукупності територіальних, відомчих і приватних центрів аналізу і розподілу інформації (ISAC) у різних галузях народного господарства й економіки держави.

Президент США Б. Обама назвав проблему кібербезпеки однією з основних у XXI ст. поряд з тероризмом та розповсюдженням ядерної зброї. Нова Адміністрація Президента США із самого початку своєї роботи визначила питання забезпечення кібербезпеки одним із пріоритетних у державній політиці, у зв'язку з чим було нею зайнято активну позицію щодо розвитку наступальних кібертехнологій. Усю цифрову інфраструктуру (мережі та комп'ютери) визнано стратегічним національним надбанням.

У лютому 2003 року в США розроблено та опубліковано "Національну стратегію захисту кіберпростору", в якій визначено послідовний та комплексний підхід до захисту життєво важливих комунікаційних технологій американської нації. Стратегія розроблена після кількох років консультацій зі значною кількістю фахівців, у т.ч. з працівниками органів управління та організацій приватного сектору.

"Національна стратегія захисту кіберпростору США" 2003 р., спрямована на захист складних і взаємопов'язаних інформаційних систем, які мають життєво важливе значення для сучасного інформаційного суспільства. Загальною метою цього документу є виокремити організуючі завдання та пріоритетність зусиль по їх досягненню; визначити напрямки і кроки, які мають здійснювати, як урядові структури, так і підприємства та приватні користувачі по досягненню безпеки кібернетичного простору США.

Основним завданням у сфері кібернетичної безпеки стратегія визначає "запобігання кібернетичним нападам на критичну інфраструктуру, зниження вразливості нації до таких нападів і мінімізація збиток і час відновлення".

При цьому під кібернетичним тероризмом у США сьогодні розуміють "навмисне руйнування, переривання чи перекручування даних у цифровій формі чи потоків інформації, що має широкомасштабні негативні політичні, релігійні чи ідеологічні наслідки".

Стратегія визначає п'ять основних напрямів діяльності з питань захисту:

  • 1) постійний моніторинг й безперервна оцінка загроз та вразливих місць державних інформаційних систем;
  • 2) здійснення національних заходів із зменшення загроз та уразливості кіберпростору;
  • 3) здійснення заходів щодо захисту інформаційних систем органів влади;
  • 4) забезпечення якісної освіти та навчання з питань захисту кіберпростору;
  • 5) співробітництво з питань національної безпеки та безпеки міжнародного кіберпростору.

Перший напрям стратегії передбачає створення ефективної системи швидкої ідентифікації, обміну інформацією та заходи щодо зменшення втрат, викликаних протиправними діями. Серед основних видів діяльності щодо реагування на загрози для безпеки кіберпростору США слід відзначити: створення національної системи реагування на загрози для безпеки кіберпростору; забезпечення проведення тактичного та стратегічного аналізу кібератак та оцінку вразливості; координацію управління ризиками для кіберпростору.

Другий напрям передбачає оперативне виявлення вразливих місць, які утворилися внаслідок технічної недосконалості та неправильної реалізації технологічних продуктів, а також нагляд за їх використанням. Цей напрям включає здійснення наступних заходів: підвищення здатності правоохоронних органів запобігати атакам у кіберпросторі та переслідувати у судовому порядку осіб, які їх вчиняють; виявлення слабких місць інформаційних систем і телекомунікацій у масштабах країни з метою належної оцінки потенційних загроз та можливих наслідків їх вразливості; захист національного сегменту мережі Інтернет шляхом удосконалення протоколів обміну інформацією та її маршрутизації; впровадження в експлуатацію надійних електронних систем збирання даних та управління ними; скорочення кількості вразливих місць у програмному забезпеченні національних інформаційних систем та їх ліквідацію; вивчення інфраструктурної взаємозалежності та зміцнення фізичної безпеки інформаційних систем и телекомунікацій; визначення пріоритетних завдань щодо досліджень та розробок у сфері захисту кіберпростору; здійснення оцінки та забезпечення безпеки в нових інформаційних системах.

Третій напрям цієї стратегії передбачає здійснення заходів щодо захисту інформаційних систем органів влади, зокрема облік зареєстрованих користувачів державних інформаційних систем; захист державних безпровідних локальних мереж; підвищення безпеки при розподілі державних підрядів і постачання.

Четвертий напрям цієї стратегії спрямований на вирішення питання забезпечення існуючих потреб держави у високоосвічених кадрах, здатних працювати над скороченням вразливих місць в національному кіберпросторі. Окрім навчання кадрів також передбачається атестація службовців, які вже користуються комп'ютерами, займаються системним адмініструванням, розробляють та впроваджують інформаційні технології, а також керують інформаційними службами й установами США.

П'ятий напрям передбачає здійснення низки заходів, спрямованих на забезпечення розвитку міжвідомчого та міжнародного співробітництва з питань національної безпеки та безпеки міжнародного кіберпростору. Для цього згідно стратегії "необхідно підсилити заходи щодо забезпечення цілісності, надійності і готовності критичної фізичної та інформаційної інфраструктур як усередині, так і поза межами держави".

У 2009 р. конгресмени США О. Сноу та Д. Рокфеллер підготували та ініціювали законопроект "Акту про кібербезпеку" ("The Cybersecurity Act of 2009")[1], в якому закріплено повноваження Президента США відключати доступ до мережі Інтернет на всій території США у надзвичайних випадках загроз національній безпеці. У липні цього року американським політиком О. Джілібреном запропоновано проект "Акту глобальної відповіді на кібервиклики" ("Fostering a Global Response to Cyber Attacks Act"), в якому містяться положення щодо можливості Уряду США взаємодіяти з будь-якою державою світу в питаннях організації протидії злочинам у кіберпросторі.

Окрім того, у 2009 р. у США оприлюднено "Огляд кібербезпекової політики", в якому визначено, що Білий Дім має виконувати провідну роль у питаннях координації, розроблення та впровадження новітніх стандартів кібербезпеки в державі. Для забезпечення реалізації цього завдання необхідно вжити низку організаційних заходів, що мають сформувати нову структуру системи національної кібербезпеки.

З цією метою при Білому Домі було створено відділ з кібербезпеки, керівник якого підзвітний РНБ та Економічній раді США. Головними завданнями відділу є: координація роботи урядових відомств, до повноважень яких належить розслідування кіберзлочинів та хакерських атак, розробка нових захисних технологій.

Особливу увагу було приділено проблемі організаційно-правового забезпечення реалізації кібербезпекової політики. До посадових обов'язків Федерального Директора з інформаційних технологій належить питання інформаційної безпеки та координації всіх оргструктур, задіяних у системі кібербезпеки держави. До обов'язків помічника Президента США з питань внутрішньої безпеки та контртероризму належать питання кібербезпеки та інформування суспільства про результативність щорічної доповіді "Місяць національної поінформованості з кібербезпеки" (National Cybersecurity Awareness Month)[2]. Також в Адміністрації Президента США було передбачено введення двох нових посад з питань реалізації державної стратегії та забезпечення безпеки федеральних і військових комп'ютерних мереж.

Основними ключовими передумовами для посилення кібербезпеки в США визначено:

  • 1) курс на збільшення інвестицій в інфраструктури і проекти (до яких можна віднести і комп'ютерну інфраструктуру), що надасть можливість забезпечити держзамовленнями американську IT-індустрію. Окрім того, у США відбувається процес боротьби між правовласниками та комп'ютерними піратами, що позбавляють компанії, які працюють інфомедійній сфері, традиційного рівня прибутковості, у свою чергу, зумовлює активну участь держави у процесі захисту великих компаній;
  • 2) США дійсно відчувають зростаючу активність хакерів. За даними сайту "america.gov", у 2006 р. лише сайт Міністерства оборони США піддавався атаці 6 млн разів, а в 2009 р. кількість таких спроб зросла до 360 млн. разів.
  • 29 травня 2009 року було оприлюднено "Огляд з кібербезпеки" (Cyber Security Review), що мав на меті "виробити стратегічну основу кіберініціатив Уряду США". У цьому Огляді, до ключових завдань керівництва США у сфері кібербезпеки віднесено: забезпечення центральної ролі Білого Дому у формуванні кібербезпекової політики з метою продемонструвати аудиторії як усередині США, так і міжнародним партнерам серйозність намірів американського керівництва у сфері кібербезпеки; перегляд законодавства та політики у сфері кібербезпеки; посилення федерального законодавства та відповідальності у сфері кібербезпеки; просування інформаційних проектів державного, регіонального та локального рівня.

Крім того, у цьому документі окреслено ключові завдання, спрямовані на посилення кібербезпеки США, а саме: підвищити готовність суспільства до кіберзагроз; посилити кібербезпекову освіту, збільшити кількість федеральних працівників з підготовкою у сфері інформаційних технологій; просувати кібербезпеку як важливий елемент відповідальності урядів усіх рівнів.

Свої основні погляди на проблему кібербезпеки Б. Обама виклав у "Зауваженнях щодо забезпечиш безпеки національної кіберінфраструктури" 2009 р.[3]. У них він робить висновок про те, що "...кіберзагрози є одними з найбільш серйозних викликів економічній та національній безпеці, з яким зіткнулася нація". З огляду на це, Б. Обама оголосив цифрову інфраструктуру США "стратегічною національною цінністю", а захист цієї інфраструктури – національним пріоритетом.

Окреслено також основні напрями, спрямовані на вирішення означених вище проблем: розроблення ефективної стратегії забезпечення безпеки інформаційних та комунікаційних мереж; розроблення систем попередження та реагування на кібератаки; посилення партнерства між державою та приватним сектором; збільшення інвестицій в іноваційні технології для інформаційної інфраструктури; початок масштабної національної кампанії щодо посилення готовності суспільства до протидії кіберзагрозам[4].

На початку березня 2010 року Президентом США була затверджена чергова "Ініціатива зі всеосяжної національної кібербезпеки" Ради національної безпеки США, яка складається з дванадцяти загальних положень, реалізація яких дозволить захистити країну та уряд від кібератак та хакерів. Ця ініціатива є складовою частиною розділу Воєнної доктрини США, що стосується кібернетичної оборони.

Документом передбачено створення єдиної федеральної мережі, пов'язаної захищеними каналами зв'язку. Зв'язок цієї захищеної мережі має здійснюватися через контрольовані точки доступу. Окрім того, Ініціатива передбачає об'єднання всіх 6 наявних у США центрів оперативного реагування на кіберзлочини з метою підвищення ефективності їх діяльності та проведення більш глибокого аналізу хакерських атак.

Також, з метою протидії іноземним кібершпигунам документом передбачено створення підрозділів кіберконтррозвідки, яка поширить свій вплив на всі державні органи США, захист таємних внутрішніх мереж Міноборони США від терористичних атак.

Передбачено створення системи управління ризиками для прогнозування наслідки злому систем, викрадення або пошкодження інформації та мінімізації втрат від таких протиправних втручань АНБ та його партнери з приватного сектору нацбезпеки США розробили план спільних заходів протидії загрозам, які стоять перед неурядовими комп'ютерними мережами. Таким чином держава буде приймати участь у захисті ключових приватних інфраструктурних мереж (телекомунікації, електромережі, мережі банківських розрахунків, інтернет-провайдери). Запровадження комплексу раннього опущення про спроби несанкціонованого доступу ("Ейнштейн-2"). Паралельно відповідно до директиви Президента США №54-2008 р. передбачено розробку системи "Ейнштейн-3".

Стратегія кібербезпеки США 2011 р., запропонована Президентом США Б. Обамою, якою передбачено право США приймати заходи у відповідь на ворожі дії у кіберпросторі, розглядаючи їх як будь-які інші загрози. Тобто, хакерські атаки прирівняні керівництвом США до оголошення війни.

Стратегія передбачає багато різних аспектів від міжнародних прав і свобод до питань управління та проблем силових структур.

В кінці квітня 2012 року Сенат США прийняв Закон CISPA ("Cyber Intelliggence Sharring and Protection Act"), який дозволить Уряду США, приватним агентствам безпеки та будь-яким приватним компаніям за наявності підозр про вчинення кіберзлочину отримати доступ до конфіденційної інформації користувачів і комерційних організацій.

Таким чином, події 11 вересня спричинили трансформацію уявлень як про національну безпеку в цілому, так і про ІБ як її ключову складову, зокрема, відбулося формування нової парадигми національної безпеки, США, яка грунтується на усвідомленні повної залежності національної інфраструктури від інформаційних систем та мереж країни.

Щодо законодавства окремих штатів, то з урахуванням того, що правовідносини в інформаційній сфері США урегульовані нормами переважно федеральних законів, на нашу думку, необхідно звернути увагу в першу чергу на законодавство про кримінальну відповідальність за злочини в інформаційній сфері.

При цьому серед головних його ознак слід виділити, насамперед, варіювання, адже кримінальні кодекси штатів дуже різняться між собою.

Так, зокрема, деякі штати пов'язують кримінальну відповідальність із розмірами завданих збитків у грошовому еквіваленті (Юта, Техас, Коннектикут тощо). В інших штатах кримінальна відповідальність настає навіть за відсутності матеріальних збитків, зокрема, у випадках несанкціонованого доступу до конфіденційної інформації (Невада, Вірджинія, Нью-Йорк), результатів медичного обстеження (Нью-Йорк, Вірджинія), даних щодо трудової діяльності, заробітної платні, наданих кредитів та приватних справ (Вірджинія).

Відповідно до законодавства штату Юта, одним з найефективніших критеріїв визначення покарання за вчинене правопорушення є розмір заподіяної (чи такої, що могла бути заподіяна) шкоди, адже він дозволяє легко розмежувати випадки цивільно-правової, адміністративної та кримінальної відповідальності.

У Кримінальному кодексі штату Юта окреслено два основні напрямки злочинних дії, що об'єднуються загальним терміном "комп'ютерні злочини". По-перше, це продаж заборонених телекомунікаційних пристроїв чи їх компонентів (ст. 76-6-409.8). По-друге, це злочинне використання технічних можливостей комп'ютера (ст. 76-6-703). Обидва види злочинів віднесено до другого, особливо небезпечного, типу. Законодавець зобов'язав генерального прокурора, прокурорів штату та округу порушувати кримінальну справу у випадках, коли існує достатньо даних, що вказують на наявність ознак вчинення кримінального правопорушення у сфері застосування комп'ютерної техніки (ст. 76-6-704.1).

Покарання за злочини в інформаційній сфері також відрізняються у різних штатах. Зокрема, в штаті Джорджія за порушення права доступу до інформації в деяких випадках особі може бути призначене покарання у вигляді ув'язнення терміном до 15 років. В якості кваліфікуючої ознаки злочину закони деяких штатів передбачають умисність протиправних дій. Однак, слід підкреслити, що оскільки задум щодо вчинення таких дій дуже складно довести, то цей пункт може стати суттєвою перешкодою для притягнення до кримінальної відповідальності за комп'ютерні злочини у Каліфорнії, Делаварі, Флориді, Канзасі, Меріленді та Мінесоті.

Разом з тим, не зважаючи на велику кількість нормативно-правових актів США в сфері ІБ, вони не завжди є ефективними. Законодавство США ще не відповідає масштабу загроз в інформаційній сфері країни, існуючих на сучасному етапі. Тому потреби протидії злочинності в сфері новітніх ІТ- технологій – захист елементів критичної інфраструктури від кібертерористів, а користувачів інформаційних систем від шахрайства, забезпечення конфіденційності інформації в інформаційних системах, захист прав інтелектуальної власності – визначають необхідність подальшого розвитку та удосконалення існуючого нормативно-правового регулювання ЗІБ країни.

  • [1] The Cybcrsecurity Асі of2009. [Электроиний ресурс]. Режим доступу: http: //whiiehouse.gov/ihe_press_ofllce.
  • [2] National Cybcrsecurity Awareness Month [Элестроиний ресурс]. Режим доступу: whitehouse.gov/blog/Nalional-Cybcrsecurity-Awarcncss-Month.
  • [3] Remarks by (he President on securing our nation's cyber infrastructure [Элсктронний ресурс]. Режим доступу: whitehouse.gov/ihe_press_ofIicc/Remarks-by-the-Presidcni-on-Sceuriiy-Nations-Cyber-Infrusimcture.
  • [4] Statement by the President on the White House Organization for Homeland Security.
 
Якщо Ви помітили помилку в тексті позначте слово та натисніть Shift + Enter
< Попередня   ЗМІСТ   Наступна >
 
Дисципліни
Агропромисловість
Банківська справа
БЖД
Бухоблік та Аудит
Географія
Документознавство
Екологія
Економіка
Етика та Естетика
Журналістика
Інвестування
Інформатика
Історія
Культурологія
Література
Логіка
Логістика
Маркетинг
Медицина
Менеджмент
Нерухомість
Педагогіка
Політологія
Політекономія
Право
Природознавство
Психологія
Релігієзнавство
Риторика
РПС
Соціологія
Статистика
Страхова справа
Техніка
Товарознавство
Туризм
Філософія
Фінанси
Інші