- •Нормативно-правове забезпечення охорони державної таємниці.
- •Система захисту інформації в провідних країнах азії: японії та китаї Японія.
- •Китайська Народна Республіка.
- •6 См.: Компьютерра. 2008. N 34.
- •16 Роговский е. А. Геопространственные разведки сша // сша-Канада: экономика, политика, культура. 2004. N 8. С. 125.
Лекція 1_МІ_Ч. 2. СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ В США
Нормативно-правове забезпечення захисту інформації.
У США напрацьовано велику кількість нормативно-правових актів, які регулювали та регулюють питання захисту інформації. Проблеми інформаційної безпеки розглядаються американською адміністрацією як один із ключових елементів національної безпеки. Так, у США базові закони захисту інформаційної сфери діють з 1974 року, їх загальне значення полягає в тому, що вони:
визначають об'єкти правової охорони в інформаційній сфері;
визначають порядок реалізації права власності на інформаційні об'єкти, права і обов'язки власників;
визначають правовий режим функціонування інформаційних технологій;
визначають категорії доступу окремих суб'єктів до певних видів інформацій;
встановлюють категорії секретності;
визначають поняття «конфіденційної інформації» та межі його правового застосування.
Крім того, інформація може бути захищена за допомогою правових засобів захисту інтелектуальної власності (інформація взагалі розглядається як об'єкт права інтелектуальної власності, навіть коли мова йде про масову інформацію). У США існують чотири основних закони з приводу інтелектуальної власності:
закон про авторське право;
патентний закон;
закон про торгову марку;
закон про торговий секрет.
Ці закони є федеральними, тобто такими, що не підлягають змінам в залежності від того, в якому штаті вони застосовуються.
Значну вагу в системі законодавства США в інформаційній сфері становлять судові прецеденти. Особливий інтерес з приводу з'ясування питань регулювання інформаційних відносин становлять рішення саме щодо права власності та інтелектуальної власності на поділяється на два види:
технологічна інформація (має самостійну економічну вартість внаслідок власної унікальності та за рахунок неможливості її одержання законним шляхом іншими особами, і які можуть отримати економічний еквівалент від ЇЇ використання та розкриття);
ділова інформація (є об'єктом діяльності, яка є обґрунтованою за обставин, що вимагають ЇЇ збереження в таємниці).
Національна політика США в галузі захисту інформації формується Агентством національної безпеки (АНБ). Крім того, найбільш важливі стратегічні питання інформаційної безпеки розглядаються на рівні Ради національної безпеки, а рішення оформляються у вигляді директив Президента США. Серед таких директив можна виокремити:
директиву PD/NSC - 24 «Політика в галузі захисту систем зв'язку» (1977 р.), у якій вперше зазначається про необхідність захисту важливої несекретної інформації для забезпечення національної безпеки;
директиву SDD - 145 «Національна політика США в галу зі безпеки систем зв'язку в автоматизованих інформаційних системах (1984 р.). У відповідності до цього документу на АНБ покладено функції із захисту інформації і контролю за безпекою не тільки на каналах зв'язку, але і в обчислювальній та інформаційно-телекомунікаційній системах. Цією ж директивою на зазначений орган покладено відповідальність за сертифікацію технологій, систем і встаткування в частині захисту інформації в інформаційно-телекомунікаційних системах країни, а також за ліцензування діяльності у галузі захисту інформації.
Слід зазначити, що в період з другої половини XX ст. по перші роки XXI ст. у США прийнято низку федеральних законів, які створили правову основу для формування й проведення єдиної державної політики в галузі захисту інформації з урахуванням інтересів національної безпеки країни. Це зокрема закони «Про свободу інформації» (1967 p.), «Про таємницю» (1974 p.), «Про право на фінансову таємницю» (1978 р.), «Про доступ до інформації про діяльність ЦРУ» (1984 р.), «Про комп'ютерні зловживання і шахрайство» (1986 р.), «Про безпеку комп'ютерних систем» (1987р.) тощо.
Уряд США при реалізації своєї політики в галузі захисту інформації виходить із принципу, що перехоплення Іноземними державами конфіденційної державної і приватної інформації, а також відкритої інформації, яка передається урядовими й комерційними телеко-мунікаціями, може завдати шкоди держави. Оскільки обробка цієї інформації, зіставлення та об'єднання розрізнених відомостей може привести до розкриття державних секретів. Тому починаючи із середини 80-х років захист ліній зв'язку й автоматизованих систем став основним завданням компетентних державних органів США. Так, закон США «Про забезпечення безпеки ЕОМ» № HR - 145, прийнятий Конгресом у травні 1987 року, встановив пріоритет національних інтересів при вирішенні питань безпеки інформації (приватної у тому числі). Цей нормативно-правовий акт встановив вимоги державних органів із забезпечення необхідного рівня захисту інформації, які можуть бути поширені на будь-яку «важливу інформацію». При цьому цей закон встановив, що «важливою» є та інформація, «втрата якої або неправильне використання чи несанкціонована зміна якої або доступ до якої можуть привести до небажаних впливів на національні інтереси». Цим же законом фактично встановлено нову категорію Інформації обмеженого доступу- «несекретна, але важлива з погляду національної безпеки». До цієї категорії інформації піднесена практично вся несекретна інформація урядових відомств, а також більша частина відомостей, що циркулюють або обробляються в інформаційно-телекомунікаційних системах приватних фірм, корпорацій, які працюють на замовлення уряду США.
«Національна інструкція про забезпечення безпеки зв'язку США» № 6002, прийнята у червні 1984 року, встановила правила забезпечення зв'язку державних підрядників компетентними державними органами. Цей правовий акт дозволяє використовувати державним підрядникам шифрувальну техніку, виготовлену на замовлення АНБ, або ним сертифіковану. Зазначимо, що вивіз криптографічних пристроїв із США проводиться тільки із дозволу АНБ.
Закон США «Про захист приватної інформації про особу» 1974 року забезпечив захист персональних даних громадян, що зберігаються в державних архівах США, і визначив принципи захисту цього виду інформації. Існує велика кількість федеральних законів, які захищають окремі категорії персональних даних, такі як: фінансова, кредитна звітність тощо, хоча загальнодержавного нормативно-правового акту не існує. Лише в 2000 році набув чинності єдиний на сьогоднішній день федеральний закон, який був прийнятий конгресом у 1998 році, що спеціально регулює використання персональної інформації в Інтернеті - «Закон про захист онлайновых персональних даних дітей» (СОРРА). Цим законом встановлено, що збирати персональні дані про дітей віком до 13 років дозволено тільки зі згоди батьків. У 1999 році міністерство охорони здоров'я США випустило проект інструкцій, що захищають персональну медичну інформацію. Ці правила оприлюднені у 2000 році й набули чинності у квітні 2001 року. Законодавство СІЛА про захист персональних даних постійно вдосконалюється. Про це свідчить законотворча діяльність Верхньої та Нижньої палат парламенту, які в 2001 році розглянули понад сто законопроектів з питань захисту персональних даних, зокрема: про невтручання у приватне життя, про недоторканність генетичних і медичних даних; інформації, яка поширюється через мережу Інтернет.
Закон «Про доступ до інформації» (FOIA) був прийнятий у 1966 році. До нього кілька разів було внесено зміни та доповнення. Цим законом право доступу до інформації є в кожного громадянина США, але до тієї інформації, яка зберігається у всіх державних органах, крім судів і Білого дому. Зазначимо й про те, що в законі є ще безліч виключень. У 1996 році прийнятий закон «Про свободу електронної інформації», який доповнив «Про доступ до інформації» FOIA положеннями про інформацію, що зберігається у електронному вигляді.
Промислово розвинутими країнами, зокрема США, накопичено значний законодавчий досвід у регламентуванні відносин у сфері захисту комерційної таємниці, забезпечення майнових інтересів власників торгових секретів, «ноу-хау».
Аналіз діючого законодавства США показує, що майнові інтереси власників виробничих, торгових, ділових секретів, «ноу-хау» охороняються нормами цивільного, торгового, кримінального, трудового права, законодавства про недобросовісну конкуренцію. У США діє спеціальне законодавство, яке об'єднує правила поведінки зацікавлених осіб у сфері використання торгових або ділових секретів. У США, країні прецедентного права, вирішення суперечок між сторонами здійснюється за допомогою прецедентних судових та адміністративних рішень.
Законодавство США у поняття «діловий секрет» включає різні види технічної інформації (формула, пристрій, метод, техніка і спосіб виробництва). Термін «ноу-хау» уперше був використаний у США в 1916 році у судовій справі «Дюранда проти Брауна».
У 1979 р. національна конференція членів Комісії з уніфікації права США з охорони ділових секретів рекомендувала «Єдиний закон про ділові секрети», який було введено в дію у 1980 р. (далі Закон). Згідно з § 1 (4), діловий секрет - це інформація (формула, пристрій, метод, техніка, спосіб), яка має самостійну економічну цінність (фактичну або потенційну), оскільки не є суспільною, або та, яка легко встановлюється за допомогою відповідних засобів іншими особами, які можуть отримати економічну перевагу від її розкриття або використання. А також яка є об'єктом зусиль, які необхідні для збереження її таємності.
Таким чином, для того, щоб певна інформація була діловим секретом і підлягала охороні Законом, вона повинна відповідати наступним вимогам:
мати потенційну економічну цінність, пов'язану з її таємністю;
не бути загально- та легкодоступною;
забезпечуватися розумною охороною з боку власника.
З прийняттям у 1979 р. у деяких штатах США однакового закону про ділові секрети й у контексті рішень, винесених судами, особливо рішення Верховного Суду по справі «Ракелсхаус» проти «Монсато К°» (1984 p.), ділові секрети офіційно визнані видом власності. Новий статус власника ділових секретів створює і новий інструмент для захисту інтересів не тільки самого власника нематеріального об'єкта, але й його кредиторів і спадкоємців.
Ділові секрети в США охороняються «Законом про економічне шпигунство» (ЕА) від 1996 р. і «Уніфікованим законом про ділові секрети» (UTSA). За порушення першого закону може настати кримінальна відповідальність, за порушення другого - цивільна, причому одне не виключає іншого. Особливий інтерес до цієї проблеми пояснюється зростаючою роллю технологій в американській економіці й чисельними випадками використання комп'ютерів і мережі Інтернет для проникнення в конфіденційні бази даних.
Випадки фактичного чи передбачуваного протиправного використання ділових секретів регулюються UTSA, a EA регулює випадки навмисного незаконного привласнення ділових секретів, у тому числі конспіративними способами. На порушників ЕА може бути накладено штраф (до 500 тис. доларів) або тюремне ув'язнення терміном до 10 років (організація може бути оштрафована на 5 млн доларів). Якщо злочин навмисний і відбувається в інтересах іноземної держави, то максимальний термін тюремного ув'язнення може складати 15 років, а штраф - 10 млн доларів. У 1997 році за спробу продати дискети, креслення та інші матеріали з конфіденційною інформацією компанії, яка сама сповістила зацікавлену сторону про протиправну дію, що готується, до 15 місяців тюремного ув'язнення було засуджено колишнього співробітника компанії «PPG Industries».
Оскільки порушники ЕА можуть понести кримінальне покарання, законом передбачаються і більш строгі умови надання доказів, тобто вони повинні бути незаперечними. Крім того, для порушення кримінальної справи необхідно підтвердження навмисності протиправних дій, тому в більшості випадків порушуються цивільні справи. Наприклад, у справі «PepsiCo & Redmond» найбільш складним виявилося встановлення наявності ділового секрету як такого. При цьому суд враховував ступінь поінформованості про таємницю за межами компанії-позивача, ступінь обізнаності співробітників компанії «PepsiCo & Redmond» тощо, дієвість заходів інформаційної безпеки, що застосовувались, цінність конфіденційної інформації як для позивача, так і для конкурентів, обсяги витрат, і, нарешті, чи могли інші особи одержати або відтворити цю інформацію.
Хоча для ділових секретів вимога новизни не є обов'язковою умовою, вони повинні являти собою недоступну громадськості інформацію або комбінацію елементів інформації, кожний з яких окремо не складає секрету. При цьому власник інформації зобов'язаний передбачити заходи щодо дотримання конфіденційності.
Після розгляду справи «PepsiCo & Redmond» поняття погрози незаконного привласнення ділового секрету включило в себе доктрину так званого «неминучого розкриття». Через 6 днів після того, як ознайомлений з деталями розвитку виробництва віце-президент Північноамериканського відділення «PepsiCo & Redmond» звільнився і вирішив перейти на роботу до конкуруючої компанії, «PepsiCo & Redmond» подала позов до суду, вимагаючи заборони на такий перехід, оскільки це було пов'язано з ризиком «неминучого розкриття» надзвичайно важливих питань цінової та маркетингової політики. Суд першої інстанції задовольнив позов і зобов'язав відповідача не приступати до роботи в новій компанії протягом 6 місяців. Апеляційний суд підтримав рішення суду першої інстанції. У справі «Lumex & Highsmith» позивач вимагав дотримання угоди, відповідно до якої відповідачу (колишньому співробітнику) протягом 6 місяців після звільнення з компанії-позивача було заборонено перехід на роботу до конкурента. Суд також задовольнив цей позов, зазначивши, що відповідач, обізнаний в деталях маркетингової політики компанії, не вправі відразу ж переходити на роботу до конкурента. Однак суд відхилив позов компанії, яка вимагала повної заборони на перехід у будь-якій якості свого колишнього службовця до конкурента.
Супротивники застосування доктрини «неминучого розкриття» вважають, що позивачі, що прибігають до неї, перетворюють угоду про не розкриття ділових секретів в угоду про неучасть у конкуренції. У зв'язку з цим необхідно дотримуватися інтересів компанії, змушеної охороняти свої ділові секрети, не обмежуючи прав службовців, що підшукують нову роботу.
У США відповідальність за використання секрету не знімається і з третіх осіб, якщо вони знали або повинні були знати, що наступне застосування технології порушує права його власника. «Закон США про економічне шпигунство» від 1996 р. встановив кримінальну відповідальність за привласнення комерційного секрету, а також за сприяння іноземним державам або установам у їхньому викраденні.
Нормативно-правове забезпечення охорони державної таємниці.
Перший закон про захист інформації, як зазначалося вище, був прийнятий у США в 1906 році. У наш час там діють понад 500 законодавчих актів, які передбачають відповідальність за розголошення інформації та за комп'ютерні злочини.
Для впровадження нового підходу до захисту державних секретів зазначені вище програми передбачали насамперед упорядкування роботи із засекречуванням матеріалів. Велика увага приділялася тому, які матеріали слід вважати секретними. Зокрема, пропонувався такий порядок: особа, яка має право визначати ступінь таємності, зобов'язана довести необхідність присвоєння того або іншого грифа.
Конгрес США найбільш важливими визнав такі види документів, що безпосередньо стосуються безпеки країни: плани оборони і військових операцій; шифри і криптографічне устаткування; інформація про джерела і методи розвідки; матеріали про сучасні передові технології і вироби, виготовлені на їх основі.
Цікавим є питання правового регулювання відповідальності за розголошення державної таємниці у США. У США представників преси не можна переслідувати судом за публікацію практично будь-якої секретної інформації; єдина категорія публікацій, що карається судом, - це розкриття імен агентів розвідувальних служб, якщо публікація такої інформації завдає їм шкоди.
Однак державний службовець, відповідальний за надання інформації, може бути звинувачений у порушенні конфіденційності, притягнений до кримінальної або цивільної відповідальності або звільнений з роботи.
У США встановлена єдина система засекречування і захисту інформації з проблем національної безпеки. Ця система ґрунтується на тому, що інтереси Сполучених Штатів і громадян країни потребують захисту від несанкціонованого розголошення певної інформації, яка стосується питань національної безпеки та іноземних справ. Зокрема, система захисту передбачає такі грифи:
«цілком таємно» - для державної секретної інформації, що потребує найвищого ступеня захисту, несанкціоноване розголошення якої може завдати непоправної шкоди національній безпеці;
«таємно» - для державної секретної інформації, що потребує значного ступеня захисту, несанкціоноване розголошення якої може завдати серйозної шкоди національній безпеці;
«конфіденційно» - для державної секретної інформації, що потребує захисту, несанкціоноване розголошення якої може завдати шкоди національній безпеці.
Діє порядок розсекречування інформації після певного терміну зберігання. Виняток становлять окремі види інформації, що стосуються інтересів національної безпеки або потребують довгострокового захисту, щоб уникнути розшифрування джерел, систем, засобів збору інформації. Ця система передбачає, що підрозділ або відповідна посадова особа можуть накладати обмеження щодо доступу до секретної інформації, її видачі й захисту. Такі обмеження позначаються спеціальним маркуванням і паролем.
Діють і правила секретного діловодства в урядових установах. Робота з удосконалення перевірки осіб, які розпоряджаються секретною інформацією, особливо урядових чиновників, співробітників спецслужб і фахівців фірм, котрі володіють передовою технологією, є найбільш важливою для американських контррозвідувальних органів. Зокрема, постійно вдосконалюється законодавство США щодо захисту державних секретів і боротьби з шпигунством. Вживаються додаткові заходи із недопущення витоку пріоритетної науково-технічної інформації при проведенні різних міжнародних форумів за участю американських представників. Органам розслідування надається широкий доступ до документів, що містять інформацію про прибутки і пересування осіб, допущених до особливо важливих секретних робіт і документів, а також право вибіркової перевірки на поліграфі співробітників шифрувальних органів. При виявленні осіб, які зберігають шпигунську техніку, останні несуть передбачене законом покарання. Громадяни, засуджені за шпигунство, позбавляються права одержувати прибутки від публікації книг і випуску кінофільмів про їхню шпигунську діяльність.
Особлива увага в США звертається на запобігання зловмисним діям персоналу інформаційно-обчислювальних систем і систем безпеки, особливо співробітників, які вже мають допуск до секретної інформації.
Суворе розмежування інформації за категоріями таємності й удосконалення систем безпеки комп'ютерів сприяє виявленню співробітників, котрі намагаються збирати інформацію, яку не повинні знати. Враховуються також закордонні відрядження співробітників і шлюби з особами, які мають громадянство інших держав.
Для спрощення структури систем безпеки в США була розроблена і діє методика оцінки витрат на заходи і засоби безпеки. Саме вона дає можливість підрахувати кошти, які витрачаються на безпеку, адже важко підрахувати те, що не можна виміряти. Підлягають захисту в США й інформаційні та обчислювальні системи.
Із серпня 1999 року в рамках загальнонаціональної компанії з підвищення жорсткості режиму таємності міністерством енергетики США були запровадженні вимоги, які зобов'язали американських учених, що працюють у секретних військових лабораторіях, обов'язково доповідати до органу, який займається захистом інформації міністерства, про всі свої зв'язки з іноземними громадянами. Відповідно до цих вимог майже п'ять тисяч американських учених-ядерників пройшли перевірку на «детекторі брехні»; вжито цілий ряд заходів для захисту інформації, що передається електронними каналами зв'язку; здійснюється обов'язкова інтенсивна попередня перевірка всіх іноземних візитерів, крім того, співробітники Міністерства енергетики, котрі мають допуск до роботи із «закритою інформацією», зобов'язані повідомляти про «близькі і тривалі» контакти з іноземцями із 25-ти країн, у відносинах з якими США виявляють особливу обережність.
Зазначимо, що захист інформації в США покладено на контр-розвідувальні органи. Контррозвідувальна програма США має довгостроковий комплексний характер і передбачає практичну реалізацію американською адміністрацією і спецслужбами на плановій основі ряду конкретних заходів, у тому числі зовнішньополітичних, із використанням усіх сил і засобів розвідувальних і контррозвідувальних служб.
Багато компонентів контррозвідувальної програми за своїм масштабом, силами і засобами фактично є самостійними національними програмами. Наприклад, забезпечення безпеки американських установ, різних об'єктів і громадян за кордоном, контррозвідувальна освіта населення США тощо.
Відповідальним за реалізацію контррозвідувальної програми США є Федеральне бюро розслідувань (ФБР). Основою всієї контррозвідувальної програми є виявлення «зовнішньої загрози національній безпеці країни».
Діяльність контррозвідувального управління ФБР постійно спрямована на посилення боротьби зі шпигунством у науково-технічній і економічній сферах. Контррозвідувальна діяльність Бюро усередині країни проводиться за кількома програмами. Головна увага останнім приділяється контролю за діяльністю іноземних представників на території США шляхом організації постійного оперативного спостереження за співробітниками дипломатичних, консульських та інших установ, а також за їх відвідувачами, контролю телефонних, поштових, електронних та інших каналів зв'язку.
Особливо важливим напрямком діяльності контррозвідувального управління ФБР є ведення розробок і слідства у справах про шпигунство стосовно американських громадян, іноземців і осіб без громадянства. Так, за даними Американського товариства промислової безпеки (ASIS), випадки шпигунства, спрямованого на різні галузі промисловості США за останні п'ятнадцять років зросли на 260 відсотків. Саме тому економічні правопорушення і корупція в компаніях завдають щорічно збитків на 260 млрд доларів, а також ще на 140 млрд у закордонних операціях.
У зв'язку зі значним поширенням промислового шпигунства 11 жовтня 1996 року був прийнятий закон про економічне шпигунство, що стало позитивним кроком в удосконаленні законодавства у сфері охорони відомостей, які потребують захисту. Цей закон направлений на захист насамперед торгових секретів і націлений на боротьбу з промисловим шпигунством. У відповідності до цього закону викрадання торгового секрету прирівнюється до федерального злочину. Особа, викрита в промисловому шпигунстві, може бути засуджена до 10 років тюремного ув'язнення і штрафу в розмірі 250 000 доларів. Організації, що чинять такі порушення, можуть бути оштрафовані на суму до 5 мли доларів.
Для підвищення ефективності боротьби з розвідувальною діяльністю іноземних спецслужб законодавство СІМА надає ФБР право доступу до інформації, яка раніше не використовувалась у контр-розвідувальних цілях. Насамперед, контррозвідка має доступ до інформаційних банків даних податкової служби СІМА. Також дозволяється контролювати офіційні й неофіційні контакти американських секретоносіїв із представниками іноземних держав, які проводять активну розвідувальну діяльність щодо США. У США створено Національний центр захисту інфраструктури (NIPC), завданням якого є попередження та розслідування комп'ютерних злочинів та координація роботи інших центрів.