Інформаційне законодавство США
Окреслимо деякі особливості законодавства інших країн (в первую чергу — США), оскільки Лише в інформаційній галузі законодавчих актів близько 500.
Ключову роль грає американський «Закон про інформаційну безпеку» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета – реалізація мінімально достатніх дій з забезпечення безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектру можливих дій.
Уже на початку Закону називають конкретного виконавця — Національний інститут стандартів і технологій (НІСТ), що відповідає за випуск стандартів і керівництво, направлене на захист від знищення та несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, виконуваних за допомогою комп’ютерів. Таким чином, мається на увазі як регламентація дій фахівців, так і підвищення інформованості всього суспільства.
Згідно Закону, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов’язковим є і періодичне навчання всього персоналу таких ІС. НІСТ, у свою чергу, зобов’язаний проводити дослідження природи та масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування в державних системах і в приватному секторі.
Закон зобов’язав НІСТ координувати свою діяльність з іншими міністерствами та відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо, щоб уникнути дублювання та несумісності.
Крім регламентації додаткових функцій НІСТ, Закон наказує створити при Міністерстві торгівлі комісію з інформаційної безпеки, яка повинна:
Ø виявляти перспективні управлінські, технічні, адміністративні і фізичні заходи, що сприяють підвищенню ІБ;
Ø видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.
З практичної точки зору важливий розділ 6 Закону, зобов’яже її урядові відомства сформувати план забезпечення інформаційної безпеки, направлений на те, щоб компенсувати ризики та запобігти можливому збитку від втрати, неправильного використання, несанкціонованого доступу або модифікації інформації у федеральних системах. Копії плану прямують в НІСТ і АНБ.
В 1997 році з’явилося продовження описаного закону — законопроект «Про вдосконалення інформаційної безпеки» (Computer Security Enhancement Act 1997, H.R. 1903), направлений на посилення ролі Національного інституту стандартів і технологій і спрощення операцій з криптозасобами.
В законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, що розробка і використання шифрувальних технологій повинна відбуватися на підставі вимог ринку, а не розпоряджень уряду. Крім того, тут відмічається, що за межами США є зіставні та загальнодоступні криптографічні технології, і це слід враховувати при виробленні експортних обмежень, щоб не знижувати конкурентоспроможність американських виробників апаратного та програмного забезпечення. Для захисту федеральних ІС рекомендується ширше застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонують оцінити можливості загальнодоступних зарубіжних розробок. Дуже важливий розділ 3, в якому від НІСТ потрібно за запитами приватного сектора готувати добровільні стандарти, керівництво, засоби та методи інфраструктури відкритих ключів, що уможливлюють формування недержавної інфраструктури, придатної для взаємодії з федеральними ІС.
В розділі 4 особлива увага звертається на необхідність аналізу засобів і методів оцінювання вразливих місць інших продуктів приватного сектора в галузі ІБ. Заохочується розроблення правил безпеки, нейтральних по відношенню до конкретних технічних рішень, використання у федеральних ІС комерційних продуктів, участь в реалізації шифрувальних технологій, що уможливлює формування інфраструктури, яку можна розглядати як резервну для федеральних ІС.
Важливо, що відповідно до розділів 10 і далі передбачається виділення конкретних (і чималих) сум, називають точні терміни реалізації програм партнерства та проведення досліджень інфраструктури з відкритими ключами, національної інфраструктури цифрових підписів. Зокрема, передбачають для центрів, що засвідчують, повинні бути розроблені типові правила та процедури, порядок ліцензування, стандарти аудиту.
У 2001 році був схвалений Палатою представників і переданий в Сенат новий варіант розглянутого законопроекту – Computer Security Enhancement Act 2001 (H.R. 1259 RFS).
За чотири роки (1997 – 2001 роки) на законодавчому й інших рівнях інформаційної безпеки США було зроблено багато. Пом’якшені експортні обмеження на криптозасоби (в січні 2000 року). Сформована інфраструктура з відкритими ключами. Розроблена велика кількість стандартів (наприклад, новий стандарт електронного цифрового підпису – FIPS 186-2, січень 2000 року). Все це забезпечило можливість не загострювати увагу на криптографії як такій, а зосередитися на одному з її найважливіших додатків – аутентифікації, розглядаючи її за опрацьованою на криптозасобах методикою. Очевидно, що, незалежно від долі законопроекту, в США буде сформована національна інфраструктура електронної аутентифікації. В даному випадку законотворча діяльність йде в ногу з прогресом інформаційних технологій.
Програма безпеки, передбачає економічно виправдані захисні заходи та синхронізована з життєвим циклом ІС згадується в законодавстві США неодноразово. Згідно пункту 3534 («Обов’язки федеральних відомств») підрозділу II («Інформаційна безпека») розділу 35 («Координація федеральної інформаційної політики») рубрики 44 («Суспільні видання та документи»), така програма повинна включати:
Ø періодичне оцінювання ризиків з розглядом внутрішніх і зовнішніх загроз цілісності, конфіденційності та доступності систем, а також даних, асоційованих з критично важливими операціями та ресурсами;
Ø правила та процедури, що дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;
Ø навчання персоналу з метою інформування про існуючі ризики та про обов’язки, виконання яких необхідне для їх нейтралізації;
Ø періодичну перевірку та переоцінювання ефективності правил і процедур;
Ø дії при внесенні істотних змін в систему;
Ø процедури виявлення порушень інформаційній безпеки та реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути значних втрат; організувати взаємодію з правоохоронними органами.
В законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони.
У США на законодавчому рівні інформація визначається як товар, як об’єкт права власності. За цією концепцією несуттєво, на яких матеріальних носіях зберігають інформацію як об’єкт правового захисту, а отже, захист її здійснюють на загальних підставах, як і матеріальних цінностей. Тобто, використовуючи принцип аналогії права на законодавчому рівні та через судові прецеденти, змінюється зміст складу правопорушень (вводиться нова редакція норми).
Як приклад можна назвати прийнятий у 1987 р. у США Закон «Про захист комп’ютерної інформації», який стосується програми комп’ютерних даних у Національному бюро стандартів з метою забезпечення захисту даних уряду та підготовки осіб, які займаються забезпеченням захисту та мають відношення до управління, операцій і використання Федеральних комп’ютерних систем. За цим законом вдосконалення захисту, збереження таємної інформації у Федеральних комп’ютерних системах є в інтересах держави, і остання створює умови для максимального захисту таких систем, без обмеження використання тих засобів захисту, які вже заплановані або які застосовують. Цим Законом доповнено Закон від 3 березня 1901 p., яким Національному бюро стандартів надано повноваження щодо розробки шляхів захисту Федеральних комп’ютерних систем, включаючи відповідальність за розробку методів (шляхів) захисту економічної інформації та таємниці у Федеральних комп’ютерних системах, а також технічну допомогу та поради Центрального розвідувального управління.
Для застосування методів (шляхів) захисту переглянуто Розділ 111 Закону від 1949 р. «Про федеральну власність та адміністративну службу». Окремі положення щодо захисту інформації в комп’ютерних системах у США було прийнято також іншими нормативно-правовими актами:
В окремих штатах прийнято також свої нормативно-правові акти. У червні 1983 р. підготовлено доповідь на тему «Комп’ютерні злочини і правопорушення в урядових установах», в якій було виділено 17 основних способів вчинення комп’ютерних злочинів. В основу доповіді було покладено опитування респондентів про всі випадки комп’ютерних шахрайств і зловживань у період з 1 січня 1978 р. по 31 березня 1982 р. Респондентами опитування були 12 федеральних установ США, серед яких, зокрема, міністерства оборони, енергетики, фінансів, юстиції. З 215 актів опитування 43 було вилучено (вони не містили в собі комп’ютерних правопорушень), а з інших 172 становили — 69 шахрайств та 103 зловживання, виходячи з їхніх визначень. Переважну більшість крадіжок здійснюють шляхом маніпулювання вхідними та вихідними даними, а також за допомогою створення несанкціонованих файлів. У 70 % випадків крадіжок встановлено використання кількох способів одночасно. До федерального законодавства США щодо комп’ютерних злочинів у 1994 р. внесено нові поправки, які розширюють коло караних діянь і уточнюють термінологію.
Законодавчий Акт про шахрайство та зловживання за допомогою комп’ютерів, крім зазначених статей про регулювання міри винності за несанкціонований доступ до даних, які зберігають в комп’ютерах федерального уряду, та злочинів з використанням ПК, які було вчинено більше ніж в одному штаті, розширено у 1994 р. статтею про відповідальність за передавання шкідливих кодів (комп’ютерних вірусів). Слово «вірус» рідко використовують в правотворчій практиці. Новий законодавчий акт охоплює несанкціоноване передавання програм, інформації, кодів і команд, які викликають ушкодження комп’ютера, комп’ютерної системи, мережі, інформації, даних або програм.
Ключові зміни в законі — поділ злочинів з використанням комп’ютерів на два рівні: дії вчинені «з необачним ігноруванням правил», що призвели до пошкоджень, класифікують як адміністративно карані порушення, а навмисні шкідливі акти (дії) підпадають під певні кримінальні злочини. Серед головних ознак кримінального законодавства окремих штатів слід назвати варіювання, адже кримінальні кодекси штатів дуже відмінні між собою. Так, деякі штати пов’язують кримінальну відповідальність з розмірами збитків у грошовому виразі (Юта, Техас, Коннектикут тощо). В інших штатах кримінальна відповідальність настає навіть за відсутності матеріальних збитків, зокрема у випадках несанкціонованого доступу до конфіденційної інформації (Невада, Віргінія, Нью-Йорк), результатів медичного обстеження (Нью-Йорк, Віргінія), даних про трудову діяльність, заробітну плату, надані кредити та приватні справи (Віргінія). У штаті Небраска будь-який несанкціонований доступ є злочином. Покарання за ці злочини також відрізняються у різних штатах. Зокрема, в штаті Джорджія порушення права доступу в деяких випадках може спричинити ув’язнення строком до 15 років. Як ознаку злочину закони деяких штатів передбачають навмисність дій. Однак слід підкреслити, що оскільки навмисність злочинного наміру дуже важко довести, то цей пункт може стати суттєвою перешкодою для притягнення до кримінальної відповідальності за комп’ютерні злочини у Каліфорнії, Делаварі, Флориді, Канзасі, Меріленді та Міннесоті. За законодавством штату Юта одним із найефективніших критеріїв визначення покарання за скоєне правопорушення є розмір заподіяної (чи такої, що могла бути заподіяна) шкоди, адже він уможливлює розмежовування випадків настання (використовуючи звичну для нас термінологію) цивільно-правової, адміністративної та кримінальної відповідальності. У такому разі введення чіткої кваліфікації діяння залежно від розміру шкоди забезпечить можливість позбавитись суб’єктивізму під час призначення покарання. До речі, саме цей підхід використав законодавець штату Юта. У Кримінальному кодексі штату Юта (далі — кодекс) окреслено два основні напрямки злочинних дій, що об’єднують загальним терміном «комп’ютерні злочини». По-перше, це продаж заборонених телекомунікаційних пристроїв чи їхніх компонент. По-друге, це злочинне використання технічних можливостей комп’ютера. Обидва види злочинів віднесено до другого, особливо небезпечного, розряду. Законодавець встановив обов’язок генерального прокурора, прокурорів штату та округу порушувати кримінальну справу у випадках, коли є достатні дані, які вказують на наявність ознак вчинення кримінального правопорушення у галузі застосування комп’ютерної техніки. Таким чином, для цієї групи злочинів передбачено обов’язкове державне звинувачення, що свідчить про особливу увагу, яку приділяє законодавець вирішенню цієї проблеми. Оскільки при вчиненні цього виду злочинів найчастіше порушують не тільки кримінальний кодекс, а й певні статути, внутрішні нормативні акти, що тягне за собою дисциплінарну та фінансову відповідальність, встановлено можливість одночасного провадження кримінальної справи цієї групи за будь-яким іншим законом.
За період з 1986 до 1988 р. — більше ніж у 2,5 рази зросла кількість кримінальних справ, порушених за обвинуваченням в електронному шпигунстві, промисловому шпіонажі, порушенні права особи на так зване privacy — недоторканність особистого життя. При цьому все частіше знаряддям злочинців стають високотехнологічні електронні прилади. Керування ними, а також опрацювання та передавання інформації, отриманої незаконним шляхом, звичайно здійснюють за допомогою комп’ютерної техніки. Тому законодавець проводить програму обмеженого застосування певних електронних систем (до яких належать і деякі телекомунікаційні пристрої) шляхом виведення їх з обігу.
У розділі 4 Закону «Про зловживання комп’ютерами» (Computer Misuse Act of 1990) наведено невичерпний перелік електронних пристроїв та систем, заборонених для використання без отримання спеціального дозволу та вилучених з вільного обігу. Однією з форм забезпечення цієї програми було введення до Кримінального кодексу статті, яка передбачає, що правопорушенням є злочин із формальним складом, оскільки законодавець, формулюючи кримінально-правову норму, пов’язує момент закінчення злочину з вчиненням суспільно небезпечного діяння. Конкретизуючи поняття телекомунікаційного пристрою, законодавець наводить у диспозиції невичерпний перелік його складових, до яких відносить складові комп’ютера, дані, програмне забезпечення або іншу інформацію чи обладнання. Напевно, мають на увазі не будь-які складові комп’ютера чи програми, а лише такі, що забезпечують виконання операцій, внаслідок яких ці пристрої було заборонено, тобто модеми, спеціальні пристрої, розроблені для дешифрування інформації, чи програмне забезпечення подібного призначення.
Наводять коротке тлумачення деяких термінів: комп’ютер – будь-який електронний пристрій чи засіб зв’язку, що може опрацьовувати дані. Під терміном комп’ютерна система розуміють сукупність схожих, підключених чи не підключених один до одного пристроїв програмного забезпечення або іншого схожого комп’ютерного обладнання. Під комп’ютерною мережею розуміють з’єднані комунікаційними чи телекомунікаційними лініями комп’ютери або комп’ютери та віддалені термінали. Таким чином, окреслюють всі три можливі варіанти комп’ютерних мереж: глобальні (наприклад, мережа Інтернет), де комп’ютери з’єднують комунікаційними чи телекомунікаційними лініями за допомогою модемів; локальні, де комп’ютери, що можуть працювати в автономному режимі, поєднані за допомогою спеціальних засобів; «сервер-термінали», де комп’ютер-термінал не може працювати окремо від сервера, адже частково використовує його ресурси. Серед кримінальних правопорушень, в яких комп’ютер використовують як знаряддя, зазначають свідомий дозвіл використання будь-якого комп’ютера, комп’ютерної мережі, комп’ютерної власності чи комп’ютерної системи, програми, програмного забезпечення для розроблення чи виконання будь-якого шахрайства або плану введення в оману чи отримання коштів, власності, послуг або інших цінностей на фальшивих підставах (обіцянках чи заявах). Злочини, що посягають на комп’ютерну власність у вузькому розумінні, можна безпосередньо віднести до «комп’ютерних злочинів». Термін комп’ютерна власність включає електричні імпульси, вироблені за допомогою комп’ютера, дані, інформацію, фінансові документи, програмне забезпечення чи програми у вигляді, що може бути сприйнятий машиною чи людиною, будь-які інші відчутні чи невідчутні елементи, що споріднені з комп’ютерами, комп’ютерними системами та мережами, але не обмежується ними. Таким чином, цей термін охоплює всю інформацію, яку вводять, опрацьовують комп’ютером та результати цієї діяльності. Коло предметів дуже широке — «відчутні та невідчутні елементи, споріднені а комп’ютерами, комп’ютерними системами та мережами», охоплюючи майже все, що можна назвати інформацією в будь-якому вигляді. Під програмним забезпеченням розуміють серію інструкцій чи формулювань у формі, що сприймає комп’ютер, які впливають на його роботу чи дозволяють функціонувати комп’ютерній системі з передбаченим для досягнення результатом. Суто «комп’ютерним», злочином є кримінальні правопорушення, спрямовані проти встановленого порядку функціонування комп’ютерної системи. Під ними мають на увазі випадки, коли людина неправомірно, навмисно чи усвідомлюючи неправомірність свого діяння, перешкоджає виконанню чи перериває операції, що виконує комп’ютер. Перешкоди можуть створюватись як шляхом активних дій (запуск програми чи подання команд, що перешкоджатимуть виконанню такої операції), так і шляхом бездіяльності (незапуск певних програм, неподання команд чи непідключення пристроїв, необхідних для нормального виконання операції). Під «комп’ютерними послугами» розуміють доступ до інформації, що її містить комп’ютер, а також опрацювання та зберігання даних. На відміну від доступу створення перешкод може виявлятись у бездіяльності, а саме в незабезпеченні певних умов для отримання комп’ютерних послуг. Такими умовами можуть бути подання команд, завантаження та налаштування програмного забезпечення, активація (у тому числі за допомогою програмного забезпечення) приладів.