Поделиться Поделиться

Нормативно-правове регулювання забезпечення інформаційної безпеки США

Ефективність ЗІБ США, так само як кожної держави світу в першу черги залежить від досконалості нормативно-правового регулювання діяльності відповідної системи державних та громадських органів, а також неурядових організацій.

Законодавство США в сфері ЗІБ утворює сукупність федеральних законів, законів штатів та нормативних актів, які створюють правову основу для формування і проведення державної політики в сфері ІБ. Законодавства штатів у сфері ІБ досить різноманітне, оскільки нормативні акти окремих штатів дуже різняться поміж собою.

Американський законодавець значну увагу приділив питанням забезпечення безпеки інформації в державних комп'ютерних системах (закони США "Про комп'ютерну безпеку" та "Про удосконалення інформаційної безпеки"), протидії комп'ютерній злочинності (закони "Про комп'ютерне шахрайство та зловживання" та "Про зловживання комп'ютерами"), регулювання співвідношення прав громадян на отримання інформації (закони "Про свободу інформації" та "Про висвітлення діяльності уряду") та конфіденційності їх приватного життя (закон "Про охорону персональних даних").

Розглядаючи положення законодавства США в зазначеній сфері, дозволяється зробити висновок про те, що воно спрямоване на одночасне забезпечення права громадян на інформацію та конфіденційність їх приватного життя, а з іншого – на ЗІБ, як важливої складової національної безпеки держави, тобто зорієнтовано на збереження балансу інтересів особи, суспільства та держави.

Перший закон у сфері ЗІБ держави був прийнятий у США також у 1906 р.: це був Закон "Про захист інформації". На сучасному етапі правову основу для формування і проведення державної політики США в сфері ІБ в інтересах забезпечення національної безпеки держави утворюють понад 500 федеральних законів та значна кількість законів штатів.

З метою визначення основних напрямів ЗІБ США розглянемо наступні законодавчі акти – закони "Про свободу інформації", "Про охорону персональних даних", "Про інформаційну таємницю", "Про висвітлення діяльності уряду", "Про комп'ютерну безпеку", "Про забезпечення безпеки ЕОМ", "Про таємність електронного зв'язку", "Про комп'ютерне шахрайство та зловживання", "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання", "Про підвищення кібернетичної безпеки", "Про посилення повноважень спецслужб", "Про патріотизм", "Про боротьбу з тероризмом", "Про внутрішню безпеку", "Про реформування американської розвідки та запобігання терористичним актам", кримінальні кодекси штатів, директиви Президента США та відповідні стратегії США в інформаційній сфері: Національну стратегію боротьби з тероризмом, Національну стратегію фізичного захисту критичної інфраструктури та Національну стратегію безпеки кібернетичного простору.

Правове регулювання доступу до офіційних документів уряду США передбачено в Законі США "Про свободу інформації" (Freedom of Information Act), котрий було прийнято в 1966 р. Згідно із положеннями цього закону уряд США зобов'язаний оприлюднювати правила, кінцеві рішення по спірним питанням, політичні заяви та інші правові джерела. Така законодавча позиція є гарантією від створення "таємного (закритого) законодавства".

Дія Закону США "Про свободу інформації" поширюється на всі міністерства та відомства, незалежні комісії та інші комітети, управління та відділи, які входять до складу виконавчої гілки влади. Згідно до цього Закону, будь-котрий з подібних закладів зобов'язаний оприлюднювати інформацію, що міститься в кожному обліковому документі. При цьому важливою особливістю Закону є закріплене у ньому право приватних осіб, які намагаються отримати певний документ, не надавати пояснення, для чого він їм потрібен.

Разом з цим, даний закон регулює межі права громадськості на доступ до урядової інформації, коли воно поступається місцем іншим цінностям. Зокрема, головне виключенням в зазначеному законі є зустрічне право органів виконавчої влади засекретити відповідним указом чи іншим чином документи з метою збереження у таємниці змісту матеріалів, які стосуються оборони держави чи її зовнішньої політики, в інтересах забезпечення національної безпеки США.

У 1976 р. Конгрес США прийняв Закон "Про висвітлення діяльності уряду", котрий відкрив громадськості доступ до всіх зборів, які проводяться міжвідомчими федеральними органами влади. Закон передбачає відкритість для громадськості всіх засідань колегіальних органів адміністративних агентств, які складаються з осіб, які призначаються президентом, відносно яких приймаються конкретні рішення.

Водночас передбачені в Законі виключення зі сфери застосування Закону США "Про висвітлення діяльності уряду" побудовані аналогічно виключенням Закону "Про свободу інформації", та стосуються насамперед інформації, яка має секретний характер й відноситься до сфери забезпечення національної безпеки та зовнішньополітичних аспектів діяльності уряду.

Важливим аспектом правового регулювання ЗІБ США є забезпечення конфіденційності приватного життя громадян. Особливу роль в регулюванні цього питання відіграє Закон США "Про охорону персональних даних" котрий був прийнятий у 1974 р.

Даний Закон містить в собі два положення, які мають принципово важливе значення з погляду захисту недоторканності життя особи. По-перше, у преамбулі Закону право на приватність вперше визначене як "особисте і фундаментальне право, яке охороняється Конституцією США" і тим самим офіційно прирівняне до основних цивільних прав і свобод. По-друге, закон встановлює заборону на збір і збереження інформації про те, як індивід здійснює свої права, передбачені першою поправкою до конституції (свободу слова і друку, свободу віросповідання, свободу зборів і подачі петицій), за винятком випадків, коли це прямо передбачено законом чи дозволене самим індивідом, чи коли це має безпосереднє відношення до правоохоронної діяльності.

Закон США "Про охорону персональних даних" закріплює за індивідом – суб'єктом персональних даних – комплекс прав, які дозволяють йому здійснювати превентивний контроль за тим, як його право на інформаційну приватність дотримується федеральними відомствами і їх посадовими особами. До їхнього числа відносяться: право бути обізнаним про існування системи персональних даних; право бути обізнаним про цілі збору й обробки інформації; право на доступ до своїх персональних даних, на їхнє вивчення і отримання копії всіх даних чи їхньої частини; право вимагати внесення змін і доповнень у свої персональні дані.

Одночасно закон накладає на урядові відомства ряд зобов'язань і обмежень, які стосуються збору і використання персональної інформації:

1) відомства правомочні накопичувати тільки таку інформацію про індивіда, яка має безпосереднє відношення до їх компетенції. Дані, які накопичуються, повинні відповідати вимогам "вірогідності, відповідності, своєчасності і повноти";

2) встановлюється загальний режим конфіденційності персональних даних: їхнє розкриття чи передача третім особам чи іншим відомствам дозволяється лише за вимогою чи з письмовою згодою суб'єкта персональних даних. Такий режим покликаний забезпечити дотримання одного з основних принципів інформаційної практики: інформація, отримана для визначеної мети, не може бути використана для інших цілей.

Разом з тим закон передбачає низку виключень із правила конфіденційності. Одне з них – застереження відносно "рутинного використання" – створює широкі можливості для порушення режиму конфіденційності й обміну персональною інформацією поміж відомствами. Це застереження дозволяє відомству використовувати персональні дані і розкривати їх для цілей, сумісних (проте не обов'язково співпадаючих) з тією метою, для якої була зібрана інформація.

Саме застереження про "рутинне використання" дозволили впровадити в інформаційну практику відомств комп'ютерну верифікацію – проведення за допомогою комп'ютерних технологій зіставлення двох чи більш систем персональних даних. Таке зіставлення дозволяє об'єднати наявну в різних системах персональну інформацію в єдиний банк даних і одержати більш повний "інформаційний портрет" індивіда.

Зазначений Закон США "Про охорону персональних даних" був одним з перших у світі законів про захист персональних даних і послужив відправним пунктом для законотворчості в інших індустріальних державах. Однак, на думку численних критиків, дія принципів, покладених в його основу, багато в через що послаблюється нечіткістю формулювань, що дозволяють відомствам обходити незручні для них вимоги закону, і численними виключеннями. Окрім того, комп'ютерні технології пішли далеко вперед, і правове регулювання вже не відповідає потребам забезпечення інформаційної приватності в сучасних умовах автоматизованої обробки персональних даних. Саме через те закон потребує перегляду й оновлення.

У 1977 р. у США вперше був розроблений законопроект "Про захист федеральних комп'ютерних систем", котрий передбачав кримінальну відповідальність за:

– уведення свідомо помилкових даних у комп'ютерну систему, незаконне використання комп'ютерних пристроїв;

– внесення змін у процеси оброблення інформації чи порушення цих процесів, розкрадання коштів, цінних паперів, майна, послуг, цінної інформації, здійснені з використанням можливостей комп'ютерних технологій чи комп'ютерної інформації.

На сучасному етапі важливу роль у сфері нормативно-правового регулювання ЗІБ США відіграє Закон "Про комп'ютерну безпеку". Головна мета цього Закону полягає в реалізації без обмежень необхідних та достатніх заходів із забезпечення безпеки інформації у федеральних комп'ютерних системах. Відповідальним за виконання вимог Закону визначений Національний інститут стандартів і технологій (NIST), котрий забезпечує випуск стандартів і посібників, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і підробок, які виконуються за допомогою комп'ютерів. Тобто в Законі йдеться, як про регламентацію дій фахівців у сфері комп'ютерних технологій, так і про підвищення інформованості всього суспільства.

Згідно до вимог Закону, всі оператори федеральних інформаційних систем, які мають конфіденційну інформацію, повинні сформувати плани забезпечення їх безпеки. Обов'язковою вимогою е періодичне навчання всього персоналу. В свою чергу NIST зобов'язаний проводити дослідження природи і масштабу можливих загроз, виробляти економічно виправдані заходи захисту. Результати досліджень NIST розраховані на застосування як у державних системах, так і в приватному секторі.

Закон зобов'язує NIST координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо з метою уникнення дублювання і несумісності. Також Закон передбачає створення при Міністерстві торгівлі США комісії з інформаційної безпеки, яка повинна: приймати перспективні управлінські, технічні, адміністративні і фізичні заходи, які сприяють підвищенню ІБ; видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.

Досить важливими є положення 6-го частини Закону, які зобов'язують всі урядові відомства формувати плани ЗІБ, спрямовані на те, щоби компенсувати ризики і запобігати можливим збиткам від утрати, неправильного використання, несанкціонованого доступу чи модифікації інформації у федеральних системах. Копії планів направляються в NIST і АНБ.

Уряд США під час реалізації своєї політики в області захисту інформації виходить з того, що перехоплення іноземними державами конфіденційної державної і приватної інформації, а також великих обсягів відкритої інформації, переданих за допомогою урядових і комерційних мереж телекомунікацій, після їхньої обробки, зіставлення й об'єднання розрізнених даних призводить до розкриття державних секретів. Через те, починаючи із середини 1980-х років, захист ліній зв'язку й автоматизованих систем стає важливим завданням компетентних державних органів США.

Сфера комп'ютерних систем виступає важливою складовою ЗІБ СІЛА. З метою ефективної протидії комп'ютерній злочинності в 1984 р. було прийнято Закон США "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання" (Counterfeit Access Device and Computer Fraud and Abuse Act) – головний нормативно-правовий акт, що встановлює кримінальну відповідальність за злочини у сфері комп'ютерної інформації. Згодом він неодноразово доповнювався (1986, 1988, 1989, 1990, 1994 і 1996 pp.), а нині включений як § 1030 у Титул 18 Зводу законів США.

Даний закон визнав злочином отримання несанкціонованого доступу (чи перевищення його меж) до "комп'ютера федерального уряду" – будь-якого захищеного комп'ютера, котрий використовується урядовими чи підпорядкованими йому фінансовими установами:

– комп'ютер, що перебуває у винятковому користуванні уряду чи фінансової організації, чи комп'ютер, функціонування якого було порушено під час роботи в інтересах уряду чи фінансової організації;

– комп'ютер, що є частиною системи чи мережі, елементи якої розташовані більш ніж в одному штаті США.

В чинній редакції закон як § 1030 у Титул 18 Зводу законів США установлює відповідальність за сім основних протиправних діянь, якими визнаються:

– комп'ютерне шпигунство, шо полягає в несанкціонованому доступі до інформації чи перевищенні його меж, а також отриманні інформації, що стосується державної безпеки, міжнародних відносин і питань атомної енергетики (§1030 (а) (1));

– несанкціонований доступ до інформації з урядового відомства США з будь-якого захищеного комп'ютера, котра має відношення до внутрішньої чи міжнародної торгівлі, чи перевищення меж такого доступу, а також одержання інформації з фінансових записів банківської установи, емітента карт чи інформації про споживачів, що містяться у файлі управління обліку споживачів (§ 1030(a) (2));

– вплив на комп'ютер, що перебуває у виключному користуванні урядового відомства США, чи порушення нормального функціонування комп'ютера, котрий повністю чи частково використовується урядом США (§ 1030(a)(3));

– шахрайство з використанням комп'ютера – доступ, здійснений із шахрайськими намірами, і використання комп'ютера з метою отримання будь-якої цінності за допомогою шахрайства, включаючи незаконне використання машинного часу вартістю більше п'яти тисяч доларів протягом року, тобто без оплати користування комп'ютерних мереж і серверів (§ 1030(a) (4));

– умисне чи необережне пошкодження захищених комп'ютерів (§ 1030(a) (5));

– шахрайство шляхом торгівлі комп'ютерними паролями чи аналогічною інформацією, що дозволяє одержати несанкціонований доступ, коли така торгівля впливає на торговельні відносини поміж штатами та з іншими державами чи на комп'ютер, що використовується урядом США (§ 1030(a)(6));

– погрози, вимагання, шантаж й інші протиправні діяння, вчиненні з використанням комп'ютерних технологій (§ 1030(a) (7)).

Відповідальність за комп'ютерні злочини в інформаційному просторі встановлена й іншими параграфами Зводу законів США. Серед них слід виділити §1029 Титулу 18, яким передбачена відповідальність за торгівлю викраденими чи підробленими пристроями доступу, які можуть бути використані для отримання цінностей (грошей, товарів чи послуг). У свою чергу в §1361 Титулу 18 передбачено відповідальність за умисне пошкодження майна, устаткування, контактних пунктів, ліній чи систем зв'язку.

Великого значення американський законодавець надає також недоторканності особистого життя громадян і захисту персональних даних. Так, зокрема, згідно з § 2511 Титулу 18 Зводу законів США караються перехоплення й розголошення повідомлень, переданих по телеграфу, усно чи з використанням ЕОМ.

Окрім того, спеціально встановлена кримінальна відповідальність за порушення конфіденційності електронної пошти шляхом незаконного доступу до збережених повідомлень: у §2701 Титулу 18 Зводу законів США установлена відповідальність за умисне одержання чи видозмінення повідомлень, котрі зберігаються в пам'яті комп'ютера чи комп'ютерної системи, а також за створення перешкод для санкціонованого доступу до таких повідомлень.

Відповідальність за інші злочини з використанням комп'ютерної інформації чи складових інформаційного комп'ютерного простору передбачає § 1343 Титулу 18 Зводу законів США. Його нормами, зокрема, передбачена можливість притягнення до кримінальної відповідальності за передання повністю чи частково дротовими засобами зв'язку, по радіо чи телебаченню повідомлення з метою використання для подальшого вчинення шахрайства. Приписи § 1343 підлягають застосуванню у випадках, коли термінали, використовувані для ведення шахрайських дій, обмінюються інформацією за допомогою каналів електрозв'язку.

В свою чергу Закон США "Про таємність електронного зв'язку" 1986 р. (Electronic Communications Privacy Act) у Розділі 2701 містить визначення нового виду злочину – "умисного проникнення до інформаційних систем", котрий полягає у навмисному несанкціонованому доступі до системи з використанням засобів, які надаються установами електронної комунікації чи ж у навмисному порушенні системи перевірки права доступу таких засобів.

При цьому таке "умисне проникнення" означає, що злочинець своїми діями отримав, змінив інформацію, яка зберігається в електронному виді у даній системі, чи зашкодив санкціонованому доступу до неї.

Окрім того, Законом США "Про комп'ютерне шахрайство та зловживання" (Computer Fraud and Abuse Act) 1986 p. визначаються злочинними дії, які направлені на навмисне отримання несанкціонованого доступу до комп'ютера федерального уряду США та порушення його роботи. Згідно з цим Законом, протиправними визнаються будь-які дії, пов'язані з розголошенням перехоплених паролів, отриманням чи ознайомленням з будь-якою інформацією за допомогою комп'ютерів, які містять дані федерального уряду.

Кримінальна відповідальність настає, коли зміна та знищення інформації спричинили збитки, сума яких перевищує 1 тис. дол. Цим законодавчим актом також поширюється юрисдикція федерального суду на злочини, які підпадають під сферу дії кримінального законодавства штатів у приватному секторі. За винятком цього, Законом встановлено кримінальну відповідальність за модифікацію, знищення чи приховування інформації, яка отримана при несанкціонованому вході у комп'ютерну систему.

Федеральний суд може застосовувати до злочинців штраф у розмірі до 250 тис. доларів США та ув'язнення на строк до п'яти років.

Закон США "Про комп'ютерну безпеку" (Computer Security Act) 1987 р. покликаний забезпечити посилення безпеки важливої інформації, яка зберігається у федеральних комп'ютерних системах. Такою системою визначається "комп'ютерна система, яка функціонує у федеральній установі, у контрагента федеральної установи чи в іншій організації, яка обробляє інформацію, використовуючи комп'ютерну систему на користь федерального уряду для виконання федеральних функцій". Даний закон зобов'язав NIST розробити вимоги відносно безпеки усіх урядових комп'ютерних систем США, які обробляють важливі матеріали, а також затвердити програми навчання, стандарти та графіки роботи користувачів таких систем.

Закон визначає пріоритет національних інтересів при вирішенні питань безпеки інформації (у через те числі і приватної). Даний Закон декларує, що вимоги державних органів відносно забезпечення необхідного рівня захисту інформації можуть бути поширені на будь-якому "важливу інформацію". При цьому встановлено, що "важливою" є така інформація, "втрата якої, неправильне використання, несанкціонована зміна якої чи доступ до якої можуть призвести до небажаних впливів на національні інтереси".

Окрім того, Закон встановлює нову категорію інформації обмеженого доступу – "несекретна, проте важлива з погляду національної безпеки". До даної категорії віднесено практично всю несекретну інформацію урядових відомств, а також велику частину даних, які циркулюють чи обробляються в інформаційно-телекомунікаційних системах приватних фірм і корпорацій, що працюють за урядовими замовленнями.

У 1997 р. з'явився законопроект "Про удосконалення комп'ютерної безпеки" (Computer Security Enhancement Act), спрямований на посилення ролі Національного інституту стандартів і технологій (NIST) і спрощення операцій із засобами криптографічного захисту.

У законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у через те числі автентичності) даних, а розробка і використання шифрувальних технологій повинні відбуватися на підставі ринкового попиту, а не розпоряджень уряду. За винятком того, відзначалось, що поза межами США існують сумісні та загальнодоступні технології криптографічного захисту, і це варто враховувати при розробці експортних обмежень, щоби не знижувати конкурентоздатність американських виробників апаратного і програмного забезпечення. Для захисту федеральних інформаційних систем рекомендувалося більш широко застосовувати технологічні рішення, засновані на розробках приватного сектору. За винятком того, пропонувалося оцінити можливості доступних закордонних розробок.

Важливим є Частина 3, у якому від (NIST) вимагається на запит приватного сектора готувати стандарти, посібники, засоби і методи для інфраструктури відкритих ключів, які дозволяють сформувати недержавну інфраструктуру, сумісну з федеральними інформаційними системами.

У Розділі 4 особлива увага приділялася необхідності аналізу засобів і методів оцінки уразливих місць інших продуктів приватного сектора в сфері інформаційної безпеки.

В законопроекті віталась розробка правил безпеки, нейтральних відносно конкретних технічних рішень, використання у федеральних інформаційних системах комерційних продуктів, участь у реалізації шифрувальних технологій, що дозволяє сформувати інфраструктуру, якому дозволяється розглядати як резервну для федеральних інформаційних систем. Передбачалося, що для засвідчувальних центрів мають бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.

Після трагічних подій 11 вересня 2001 року Президентом і Урядом США було здійснено низку конкретних кроків відносно захисту критичної інформаційної інфраструктури держави. Зокрема, наприкінці вересня 2001 року Президент США підписав Закон "Про посилення повноважень спецслужб", згідно до якого несанкціоноване проникнення в державні комп'ютерні мережі з метою отримання вигоди чи нанесення шкоди, визначається однією з форм тероризму. За винятком того, Закон значно спрощує процедуру моніторингу мережі Інтернет ФБР США.

Згідно до цього Закону, Федеральний прокурор чи прокурори штатів отримують повноваження санкціонувати застосування (на період до двох діб) спеціальної системи збору інформації "DCS 1000", розробленою ФБР для перегляду змісту повідомлень електронної пошти і спостереження за Інтернетом.

Також згідно з цим Законом усуваються правові бар'єри, які обмежували доступ ФБР до матеріалів електронного перехоплення, що проводилися Агентством національної безпеки та іншими органами розвідувального співтовариства США. Згідно до цього закону провайдери Інтернет послуг і телефонних компаній також зобов'язані надавати інформацію на вимогу ФБР про своїх клієнтів, в через те числі конфіденційного характеру.

У жовтні 2001 року Конгресом США був прийнятий Закон "Про патріотизм" (USA Patriotic Act), спрямований на протидію тероризму, котрий надав уряду та поліції широкі повноваження по нагляду за громадянами. Даний Закон включає серію заходів, які розширюють повноваження поліції та федеральних агентств.

Зокрема, даний Закон розширює повноваження ФБР з підслуховування та електронного слідкування, дає нове визначення поняття "тероризм" та посилює покарання за нього. За винятком того, зазначеним законом окреслюється поняття "критична інфраструктура", яке визначається як "сукупність фізичних чи віртуальних систем і засобів, важливих для США в такій мірі, що їхній вихід з ладу чи знищення можуть призвести до згубних наслідків в галузі оборони, економіки, охорони здоров'я і безпеки нації".

Закон США "Про боротьбу з тероризмом" 2001 р. (Combating Terrorism Act) розширив можливості поліції та спецслужб по прослуховуванню приватних переговорів і моніторингу мережі Інтернет. Тепер для організації стеження за користувачами глобальної мережі ФБР не потрібно одержувати

дозвіл суду, за умови обгрунтування агентом запиту будь-котрий прокурор США може санкціонувати застосування системи стеження "Carnivore", яка знаходиться на озброєнні ФБР.

До прийняття цього Закону використання "Carnivore" жорстко регламентувалося й контролювалося судовими органами США. Тепер прокурор може дозволити спостереження за особою протягом 48 годин без санкції суду. Підгрунтям для застосування зазначеної вище системи може бути одна з двох обставин: існування "нагальної загрози" інтересам національної безпеки США чи атака на функціональну дієздатність комп'ютера, котрий знаходиться під захистом.

Фактично ФБР отримало можливість проводити таємні операції в країні з дотриманням мінімальних вимог за правовими стандартами США. Для цього достатньо наявності у ФБР "вагомих підстав" вважати, що підозрювані є членами терористичної групи чи агентами розвідувальної служби іноземної держави.

Окрім того, згідно до Закону при Міністерстві оборони США створене нове Бюро оперативно-інформаційного реагування. На нього покладено завдання побудувати на основі останніх технологій своєрідну пошукову систему, яка з метою виявлення підозрілих осіб чи груп зможе мати доступ практично до всіх існуючих баз даних. Контрольованою стала і суто особиста інформація: електронна пошта, дані анкет, кредитні та телефонні рахунки осіб тощо.

Значним здобутком американського законодавця в сфері національної безпеки держави стало прийняття 2S листопада 2002 року Закону США "Про внутрішню безпеку" (Homelend Security Act). Згідно до Закону урядові структури, які займалися забезпеченням комп'ютерної безпеки перейшли під контроль новоутвореного Міністерства внутрішньої безпеки (Department of the Homeland Security).

Також в інтересах захисту інформаційних ресурсів у ст. 225 Закону окреслені додаткові заходи, направлені на посилення відповідальності за злочини у сфері високих технологій, які в свою чергу нормативно оформлені у вигляді Закону США "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act). За винятком того, згідно до ст. 224 Закону "Про внутрішню безпеку" засновується так звана "мережева гвардія" (NET Guard) з числа місцевих добровольців, які володіють відповідними знаннями і необхідними навичками для ліквідації наслідків атак (вторгнень) терористів на інформаційні ресурси і мережі зв'язку.

Закон "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act) було прийнято у листопаді 2002 року з метою захисту критичної інфраструктури США. Даний Закон передбачає посилення заходів спрямованих проти хакерів, у т.ч. покарання за злам комп'ютерних систем, включаючи довічне ув'язнення. За винятком того, у відповідності з Законом Інтернет-провайдери зобов'язані надавати інформацію про клієнтів за першою вимогою поліції.

Також Закон розширює права поліцейських відносно перехоплення інформації: прослуховування телефонних переговорів та перлюстрацію електронних повідомлень вони відтепер можуть здійснюватися без дозволу суду. Проте, правоохоронці зможуть продивлятися лише заголовки електронної пошти, вивчати телефонні номери, IP-адреси та URL сайтів, що відвідуються.

У 2005 р. набрав сили закон "Про реформування американської розвідки та запобігання терористичним актам" 2004 р., котрий передбачав найбільшу за останні 50 років реорганізацію розвідувального співтовариства США. Керівником всіх 16 спецслужб, які в нього входять, та координатором їх діяльності став директор національної розвідки США.

Згідно до положень закону, Національний центр по боротьбі з тероризмом, котрий раніше входив до структури ЦРУ, став міжвідомчим органом. Також на всі спецслужби США покладено обов'язок ділитися інформацією з іншими членами розвідувального співтовариства та з правоохоронними органами на місцях. При цьому були усунуті всі правові перепони поміж розвідкою та контррозвідкою, військовими та цивільними розвідувальними службами США, а також обмеження відносно стеження за громадянами власної країни та таємних операцій спецслужб за кордоном.

Поряд із наведеними законодавчими актами США, на нашу думку, слід також звернути увагу на нормативні акти Ради національної безпеки та Президента США, які регулюють питання ЗІБ США.

Найбільш важливі стратегічні питання, які визначають національну політику в сфері захисту інформації, як правило, вирішуються на рівні Ради національної безпеки США, рішення якої оформляються у вигляді відповідних директив Президента США. Серед таких директив слід виділити наступні:

– директива PD/NSC-24 "Політика в області захисту систем зв'язку" 1977 р., в якій уперше підкреслюється необхідність захисту важливої несекретної інформації в забезпеченні національної безпеки;

– директива SDD-145 "Національна політика США в області безпеки систем зв'язку автоматизованих інформаційних систем" 1984 р., яка стала юридичною основою для покладання на АНБ США функції захисту інформації і контролю за безпекою на каналах зв'язку та в обчислювальних і складних інформаційно-телекомунікаційній системах. Цією же директивою на АНБ США покладена відповідальність за сертифікацію технологій, систем і устаткування відносно захисту інформації в інформаційно-телекомунікаційних системах держави, а також за ліцензування діяльності в галузі захисту інформації.

Національна інструкція про забезпечення безпеки зв'язку США № 6002, прийнята в червні 1984 року, встановлює, що потреби в забезпеченні безпеки зв'язку державних підрядчиків визначаються компетентними державними органами. Дані ж органи забезпечують контроль за дотриманням вимог по безпеці зв'язку.

Інструкція дозволяє використовувати державним підрядчикам шифрувальну техніку, яка виготовлена на замовлення Агентства національної безпеки, чи таку, що пройшла сертифікацію в цьому агентстві. При цьому підприємства, які виготовляють засоби шифрування не повинні знаходитися в іноземній власності чи під іноземним впливом. За винятком того, дані підприємства повинні бути допущені до роботи із секретною інформацією згідно до встановленого порядку. Вивезення будь-яких криптографічних пристроїв зі Сполучених Штатів можливий тільки з дозволу АНБ США. Одночасно директива Президента держави "Про управління шифруванням у суспільстві" (Public Encryption Management) однозначно встановлює, що криптографічні засоби, які вивозяться, не повинні служити перешкодою для органів електронної розвідки США в процесі здобування ними інформації.

Окрім наведених підзаконних нормативних актів США у сфері ЗІБ необхідно звернути увагу на Програму безпеки, яка передбачає економічно виправдані захисні заходи, синхронізовані з життєвим циклом інформаційних систем. Згідно до п. 3534 ("Обов'язки федеральних відомств") підрозділу II ("Інформаційна безпека") частини 35 ("Координація федеральної інформаційної політики") рубрики 44 ("Суспільні видання і документи"), така програма повинна включати:

– періодичну оцінку ризиків з урахуванням наявних та потенційних загроз цілісності, конфіденційності й доступності систем, а також даних, асоційованих із критично важливими операціями і ресурсами;

– правила і процедури, які дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;

– навчання персоналу з метою інформування про існуючі ризики і про обов'язки, виконання яких необхідно для їх (ризиків) нейтралізації;

– періодичну перевірку і (пере-) оцінку ефективності правил і процедур, їх дії при внесенні істотних змін у систему;

– процедури виявлення порушень ІБ і реагування на них; дані процедури повинні допомогти зменшити ризики, уникнути великих втрат; організувати взаємодію з правоохоронними органами.

Враховуючи викладене вище, дозволяється зробити висновок про те, що після подій 11 вересня 2001 року проблема ЗІБ набула пріоритетного значення в системі національної безпеки США. Зокрема Президентом та урядом країни було здійснено низку кроків по розробленню та запровадженню адекватних та дієвих механізмів та сутнісно-нових комплексних підходів (наприклад, Стратегія кібернетичного простору) за участі, як державного, так і приватного сектору відносно подолання існуючих загроз та викликів в інформаційній сфері.

При цьому, перш за завжди, необхідно виділити Указ Президента США "Захист критичної інфраструктури в інформаційну добу" за №13231, спеціально спрямований на вирішення проблем ЗІБ держави. Згідно до цього указу був створений Комітет з питань захисту критичної інфраструктури при Президентові США. Основна функція комітету полягає в координації усіх федеральних програм в області ІБ незалежно від їхньої відомчої приналежності.

Разом з тим, принцип підвищеної секретності, котрий вже став основою боротьби з тероризмом, та отримане ФБР право на збирання всередині держави даних, які стосуються не лише безпосередньо розслідування, певним чином порушують законодавчо закріпленні головні свободи людини і громадянина.

Однак, найголовнішим у формуванні нової парадигми безпеки стало прийняття трьох нових директивних документів направлених на захист інтересів внутрішньої безпеки: Національної стратегії боротьби з тероризмом (The National Strategy for Combating Terrorism), Національної стратегії фізичного захисту критичної інфраструктури (The National Strategy for The Physical Protection of Critical Infrastructures and Key Assets) та Національної стратегії безпеки кібернетичного простору (The National Strategy to Secure Cyberspace).

Зазначені стратегії вперше офіційно визнали уразливість та повну залежність інфраструктури США від стану захищеності інформаційних систем і мереж. Вони націлюють уряд і суспільство на створення Єдиної національної системи реагування на кібернетичні напади (National Cyberspace Security Response System), як сукупності територіальних, відомчих і приватних центрів аналізу і розподілу інформації (ISAC) у різних галузях народного господарства й економіки держави.

Президент США Б. Обама назвав проблему кібербезпеки однією з основних у XXI ст. поряд з тероризмом та розповсюдженням ядерної зброї. Нова Адміністрація Президента США із самого початку своєї роботи визначила питання забезпечення кібербезпеки одним із пріоритетних у державній політиці, у зв'язку з чим було нею зайнято активну позицію відносно розвитку наступальних кібертехнологій. Усю цифрову інфраструктуру (мережі та комп'ютери) визнано стратегічним національним надбанням.

У лютому 2003 року в США розроблено та опубліковано "Національну стратегію захисту кіберпростору", в якій визначено послідовний та комплексний підхід до захисту життєво важливих комунікаційних технологій американської нації. Стратегія розроблена після кількох років консультацій зі значною кількістю фахівців, у т.ч. з працівниками органів управління та організацій приватного сектору.

"Національна стратегія захисту кіберпростору США" 2003 р., спрямована на захист складних і взаємопов'язаних інформаційних систем, які мають життєво важливе значення для сучасного інформаційного суспільства. Загальною метою цього документу є виокремити організуючі завдання та пріоритетність зусиль по їх досягненню; визначити напрямки і кроки, які мають здійснювати, як урядові структури, так і підприємства та приватні користувачі по досягненню безпеки кібернетичного простору США.

Основним завданням у сфері кібернетичної безпеки стратегія визначає "запобігання кібернетичним нападам на критичну інфраструктуру, зниження вразливості нації до таких нападів і мінімізація збиток і час відновлення".

При цьому під кібернетичним тероризмом у США сьогодні розуміють "навмисне руйнування, переривання чи перекручування даних у цифровій формі чи потоків інформації, що має широкомасштабні негативні політичні, релігійні чи ідеологічні наслідки".

Стратегія визначає п'ять основних напрямів діяльності з питань захисту:

1) постійний моніторинг й безперервна оцінка загроз та вразливих місць державних інформаційних систем;

2) здійснення національних заходів із зменшення загроз та уразливості кіберпростору;

3) здійснення заходів відносно захисту інформаційних систем органів влади;

4) забезпечення якісної освіти та навчання з питань захисту кіберпростору;

5) співробітництво з питань національної безпеки та безпеки міжнародного кіберпростору.

Перший напрям стратегії передбачає створення ефективної системи швидкої ідентифікації, обміну інформацією та заходи відносно зменшення втрат, викликаних протиправними діями. Серед основних видів діяльності відносно реагування на загрози для безпеки кіберпростору США слід відзначити: створення національної системи реагування на загрози для безпеки кіберпростору; забезпечення проведення тактичного та стратегічного аналізу кібератак та оцінку вразливості; координацію управління ризиками для кіберпростору.

Другий напрям передбачає оперативне виявлення вразливих місць, які утворилися внаслідок технічної недосконалості та неправильної реалізації технологічних продуктів, а також нагляд за їх використанням. Даний напрям включає здійснення наступних заходів: підвищення здатності правоохоронних органів запобігати атакам у кіберпросторі та переслідувати у судовому порядку осіб, які їх вчиняють; виявлення слабких місць інформаційних систем і телекомунікацій у масштабах країни з метою належної оцінки потенційних загроз та можливих наслідків їх вразливості; захист національного сегменту мережі Інтернет шляхом удосконалення протоколів обміну інформацією та її маршрутизації; впровадження в експлуатацію надійних електронних систем збирання даних та управління ними; скорочення кількості вразливих місць у програмному забезпеченні національних інформаційних систем та їх ліквідацію; вивчення інфраструктурної взаємозалежності та зміцнення фізичної безпеки інформаційних систем и телекомунікацій; визначення пріоритетних завдань відносно досліджень та розробок у сфері захисту кіберпростору; здійснення оцінки та забезпечення безпеки в нових інформаційних системах.

Третій напрям даної стратегії передбачає здійснення заходів відносно захисту інформаційних систем органів влади, зокрема облік зареєстрованих користувачів державних інформаційних систем; захист державних безпровідних локальних мереж; підвищення безпеки при розподілі державних підрядів і постачання.

Четвертий напрям даної стратегії спрямований на вирішення питання забезпечення існуючих потреб держави у високоосвічених кадрах, здатних працювати над скороченням вразливих місць в національному кіберпросторі. Окрім навчання кадрів також передбачається атестація службовців, які вже користуються комп'ютерами, займаються системним адмініструванням, розробляють та впроваджують інформаційні технології, а також керують інформаційними службами й установами США.

П'ятий напрям передбачає здійснення низки заходів, спрямованих на забезпечення розвитку міжвідомчого та міжнародного співробітництва з питань національної безпеки та безпеки міжнародного кіберпростору. Для цього згідно стратегії "необхідно підсилити заходи відносно забезпечення цілісності, надійності і готовності критичної фізичної та інформаційної інфраструктур як усередині, так і поза межами держави".

У 2009 р. конгресмени США О. Сноу та Д. Рокфеллер підготували та ініціювали законопроект "Акту про кібербезпеку" ("The Cybersecurity Act of 2009"), в якому закріплено повноваження Президента США відключати доступ до мережі Інтернет на всій території США у надзвичайних випадках загроз національній безпеці. У липні цього року американським політиком О. Джілібреном запропоновано проект "Акту глобальної відповіді на кібервиклики" ("Fostering a Global Response to Cyber Attacks Act"), в якому містяться положення відносно можливості Уряду США взаємодіяти з будь-якою державою світу в питаннях організації протидії злочинам у кіберпросторі.

Окрім того, у 2009 р. у США оприлюднено "Огляд кібербезпекової політики", в якому визначено, що Білий Дім має виконувати провідну роль у питаннях координації, розроблення та впровадження новітніх стандартів кібербезпеки в державі. Для забезпечення реалізації цього завдання необхідно вжити низку організаційних заходів, що мають сформувати нову структуру системи національної кібербезпеки.

З цією метою при Білому Домі було створено відділ з кібербезпеки, керівник якого підзвітний РНБ та Економічній раді США. Головними завданнями відділу є: координація роботи урядових відомств, до повноважень яких належить розслідування кіберзлочинів та хакерських атак, розробка нових захисних технологій.

Особливу увагу було приділено проблемі організаційно-правового забезпечення реалізації кібербезпекової політики. До посадових обов'язків Федерального Директора з інформаційних технологій належить питання інформаційної безпеки та координації всіх оргструктур, задіяних у системі кібербезпеки держави. До обов'язків помічника Президента США з питань внутрішньої безпеки та контртероризму відносять питання кібербезпеки та інформування суспільства про результативність щорічної доповіді "Місяць національної поінформованості з кібербезпеки" (National Cybersecurity Awareness Month). Також в Адміністрації Президента США було передбачено введення двох нових посад з питань реалізації державної стратегії та забезпечення безпеки федеральних і військових комп'ютерних мереж.

Основними ключовими передумовами для посилення кібербезпеки в США визначено:

1) курс на збільшення інвестицій в інфраструктури і проекти (до яких дозволяється віднести і комп'ютерну інфраструктуру), що надасть можливість забезпечити держзамовленнями американську IT-індустрію. Окрім того, у США відбувається процес боротьби поміж правовласниками та комп'ютерними піратами, що позбавляють компанії, які працюють інфомедійній сфері, традиційного рівня прибутковості, у свою чергу, зумовлює активну участь держави у процесі захисту великих компаній;

2) США дійсно відчувають зростаючу активність хакерів. За даними сайту "america.gov", у 2006 р. лише сайт Міністерства оборони США піддавався атаці 6 млн разів, а в 2009 р. кількість таких спроб зросла до 360 млн. разів.

29 травня 2009 року було оприлюднено "Огляд з кібербезпеки" (Cyber Security Review), що мав на меті "виробити стратегічну основу кіберініціатив Уряду США". У цьому Огляді, до ключових завдань керівництва США у сфері кібербезпеки віднесено: забезпечення центральної ролі Білого Дому у формуванні кібербезпекової політики з метою продемонструвати аудиторії як усередині США, так і міжнародним партнерам серйозність намірів американського керівництва у сфері кібербезпеки; перегляд законодавства та політики у сфері кібербезпеки; посилення федерального законодавства та відповідальності у сфері кібербезпеки; просування інформаційних проектів державного, регіонального та локального рівня.

За винятком того, у цьому документі окреслено ключові завдання, спрямовані на посилення кібербезпеки США, а саме: підвищити готовність суспільства до кіберзагроз; посилити кібербезпекову освіту, збільшити кількість федеральних працівників з підготовкою у сфері інформаційних технологій; просувати кібербезпеку як важливий елемент відповідальності урядів усіх рівнів.

Свої головні погляди на проблему кібербезпеки Б. Обама виклав у "Зауваженнях відносно забезпечиш безпеки національної кіберінфраструктури" 2009 р.. У них він робить висновок про те, що "...кіберзагрози є одними з найбільш серйозних викликів економічній та національній безпеці, з яким зіткнулася нація". З огляду на це, Б. Обама оголосив цифрову інфраструктуру США "стратегічною національною цінністю", а захист даної інфраструктури – національним пріоритетом.

Окреслено також головні напрями, спрямовані на вирішення означених вище проблем: розроблення ефективної стратегії забезпечення безпеки інформаційних та комунікаційних мереж; розроблення систем попередження та реагування на кібератаки; посилення партнерства поміж державою та приватним сектором; збільшення інвестицій в іноваційні технології для інформаційної інфраструктури; початок масштабної національної кампанії відносно посилення готовності суспільства до протидії кіберзагрозам.

На початку березня 2010 року Президентом США була затверджена чергова "Ініціатива зі всеосяжної національної кібербезпеки" Ради національної безпеки США, яка складається з дванадцяти загальних положень, реалізація яких дозволить захистити країну та уряд від кібератак та хакерів. Ця ініціатива є складовою частиною частини Воєнної доктрини США, що стосується кібернетичної оборони.

Документом передбачено створення єдиної федеральної мережі, пов'язаної захищеними каналами зв'язку. Зв'язок даної захищеної мережі має здійснюватися через контрольовані точки доступу. Окрім того, Ініціатива передбачає об'єднання всіх 6 наявних у США центрів оперативного реагування на кіберзлочини з метою підвищення ефективності їх діяльності та проведення більш глибокого аналізу хакерських атак.

Також, з метою протидії іноземним кібершпигунам документом передбачено створення підрозділів кіберконтррозвідки, яка поширить відповідний вплив на всі державні органи США, захист таємних внутрішніх мереж Міноборони США від терористичних атак.

Передбачено створення системи управління ризиками для прогнозування наслідки злому систем, викрадення чи пошкодження інформації та мінімізації втрат від таких протиправних втручань АНБ та його партнери з приватного сектору нацбезпеки США розробили план спільних заходів протидії загрозам, які стоять перед неурядовими комп'ютерними мережами. Таким чином держава буде приймати участь у захисті ключових приватних інфраструктурних мереж (телекомунікації, електромережі, мережі банківських розрахунків, інтернет-провайдери). Запровадження комплексу раннього опущення про спроби несанкціонованого доступу ("Ейнштейн-2"). Паралельно згідно до директиви Президента США №54-2008 р. передбачено розробку системи "Ейнштейн-3".

Стратегія кібербезпеки США 2011 р., запропонована Президентом США Б. Обамою, якою передбачено право США приймати заходи у відповідь на ворожі дії у кіберпросторі, розглядаючи їх як будь-які інші загрози. Тобто, хакерські атаки прирівняні керівництвом США до оголошення війни.

Стратегія передбачає багато різних аспектів від міжнародних прав і свобод до питань управління та проблем силових структур.

В кінці квітня 2012 року Сенат США прийняв Закон CISPA ("Cyber Intelliggence Sharring and Protection Act"), котрий дозволить Уряду США, приватним агентствам безпеки та будь-яким приватним компаніям за наявності підозр про вчинення кіберзлочину отримати доступ до конфіденційної інформації користувачів і комерційних організацій.

Таким чином, події 11 вересня спричинили трансформацію уявлень як про національну безпеку в цілому, так і про ІБ як її ключову складову, зокрема, відбулося формування нової парадигми національної безпеки, США, яка грунтується на усвідомленні повної залежності національної інфраструктури від інформаційних систем та мереж країни.

Відносно законодавства окремих штатів, то з урахуванням того, що правовідносини в інформаційній сфері США урегульовані нормами переважно федеральних законів, на нашу думку, необхідно звернути увагу в першу чергу на законодавство про кримінальну відповідальність за злочини в інформаційній сфері.

При цьому серед головних його ознак слід виділити, насамперед, варіювання, адже кримінальні кодекси штатів дуже різняться поміж собою.

Так, зокрема, деякі штати пов'язують кримінальну відповідальність із розмірами завданих збитків у грошовому еквіваленті (Юта, Техас, Коннектикут тощо). В інших штатах кримінальна відповідальність настає навіть за відсутності матеріальних збитків, зокрема, у випадках несанкціонованого доступу до конфіденційної інформації (Невада, Вірджинія, Нью-Йорк), результатів медичного обстеження (Нью-Йорк, Вірджинія), даних відносно трудової діяльності, заробітної платні, наданих кредитів та приватних справ (Вірджинія).

Згідно до законодавства штату Юта, одним з найефективніших критеріїв визначення покарання за вчинене правопорушення є розмір заподіяної (чи такої, що могла бути заподіяна) шкоди, адже він дозволяє легко розмежувати випадки цивільно-правової, адміністративної та кримінальної відповідальності.

У Кримінальному кодексі штату Юта окреслено два головні напрямки злочинних дії, що об'єднуються загальним терміном "комп'ютерні злочини". По-перше, це продаж заборонених телекомунікаційних пристроїв чи їх компонентів (ст. 76-6-409.8). По-друге, це злочинне використання технічних можливостей комп'ютера (ст. 76-6-703). Обидва види злочинів віднесено до другого, особливо небезпечного, типу. Законодавець зобов'язав генерального прокурора, прокурорів штату та округу порушувати кримінальну справу у випадках, коли існує достатньо даних, що вказують на наявність ознак вчинення кримінального правопорушення у сфері застосування комп'ютерної техніки (ст. 76-6-704.1).

Покарання за злочини в інформаційній сфері також відрізняються у різних штатах. Зокрема, в штаті Джорджія за порушення права доступу до інформації в деяких випадках особі може бути призначене покарання у вигляді ув'язнення терміном до 15 років. В якості кваліфікуючої ознаки злочину закони деяких штатів передбачають умисність протиправних дій. Однак, слід підкреслити, що оскільки задум відносно вчинення таких дій дуже складно довести, то даний пункт може стати суттєвою перешкодою для притягнення до кримінальної відповідальності за комп'ютерні злочини у Каліфорнії, Делаварі, Флориді, Канзасі, Меріленді та Мінесоті.

Разом з тим, не зважаючи на велику кількість нормативно-правових актів США в сфері ІБ, вони не завжди є ефективними. Законодавство США також не відповідає масштабу загроз в інформаційній сфері країни, існуючих на сучасному етапі. Через те потреби протидії злочинності в сфері новітніх ІТ- технологій – захист елементів критичної інфраструктури від кібертерористів, а користувачів інформаційних систем від шахрайства, забезпечення конфіденційності інформації в інформаційних системах, захист прав інтелектуальної власності – визначають необхідність подальшого розвитку та удосконалення існуючого нормативно-правового регулювання ЗІБ країни.

← Предыдущая страница | Следующая страница →