32

Лекція 1_МІ_Ч. 2. СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ В США

Нормативно-правове забезпечення захисту інформації.

У США напрацьовано велику кількість нормативно-правових актів, які регулювали та регулюють питання захисту інформації. Проблеми інформаційної безпеки розглядаються американською адміністрацією як один із ключових елементів національної безпе­ки. Так, у США базові закони захисту інформаційної сфери діють з 1974 року, їх загальне значення полягає в тому, що вони:

• визначають об'єкти правової охорони в інформаційній сфері;

• визначають порядок реалізації права власності на інформа­ційні об'єкти, права і обов'язки власників;

• визначають правовий режим функціонування інформацій­них технологій;

• визначають категорії доступу окремих суб'єктів до певних видів інформацій;

• встановлюють категорії секретності;

• визначають поняття «конфіденційної інформації» та межі його правового застосування.

Крім того, інформація може бути захищена за допомогою право­вих засобів захисту інтелектуальної власності (інформація взага­лі розглядається як об'єкт права інтелектуальної власності, навіть коли мова йде про масову інформацію). У США існують чотири основних закони з приводу інтелектуальної власності:

• закон про авторське право;

• патентний закон;

• закон про торгову марку;

• закон про торговий секрет.

Ці закони є федеральними, тобто такими, що не підлягають змі­нам в залежності від того, в якому штаті вони застосовуються.

Значну вагу в системі законодавства США в інформаційній сфе­рі становлять судові прецеденти. Особливий інтерес з приводу з'я­сування питань регулювання інформаційних відносин становлять рішення саме щодо права власності та інтелектуальної власності на поділяється на два види:

• технологічна інформація (має самостійну економічну вар­тість внаслідок власної унікальності та за рахунок неможли­вості її одержання законним шляхом іншими особами, і які можуть отримати економічний еквівалент від ЇЇ використан­ня та розкриття);

• ділова інформація (є об'єктом діяльності, яка є обґрунтова­ною за обставин, що вимагають ЇЇ збереження в таємниці).

Національна політика США в галузі захисту інформації форму­ється Агентством національної безпеки (АНБ). Крім того, найбільш важливі стратегічні питання інформаційної безпеки розглядають­ся на рівні Ради національної безпеки, а рішення оформляються у вигляді директив Президента США. Серед таких директив можна виокремити:

• директиву PD/NSC - 24 «Політика в галузі захисту систем зв'язку» (1977 р.), у якій вперше зазначається про необхід­ність захисту важливої несекретної інформації для забезпе­чення національної безпеки;

• директиву SDD - 145 «Національна політика США в галу­ зі безпеки систем зв'язку в автоматизованих інформаційних системах (1984 р.). У відповідності до цього документу на АНБ покладено функції із захисту інформації і контролю за безпекою не тільки на каналах зв'язку, але і в обчислюваль­ній та інформаційно-телекомунікаційній системах. Цією ж директивою на зазначений орган покладено відповідальність за сертифікацію технологій, систем і встаткування в частині захисту інформації в інформаційно-телекомунікаційних сис­темах країни, а також за ліцензування діяльності у галузі за­хисту інформації.

Слід зазначити, що в період з другої половини XX ст. по перші роки XXI ст. у США прийнято низку федеральних законів, які ство­рили правову основу для формування й проведення єдиної держав­ної політики в галузі захисту інформації з урахуванням інтересів національної безпеки країни. Це зокрема закони «Про свободу ін­формації» (1967 p.), «Про таємницю» (1974 p.), «Про право на фі­нансову таємницю» (1978 р.), «Про доступ до інформації про діяльність ЦРУ» (1984 р.), «Про комп'ютерні зловживання і шахрайство» (1986 р.), «Про безпеку комп'ютерних систем» (1987р.) тощо.

Уряд США при реалізації своєї політики в галузі захисту інфор­мації виходить із принципу, що перехоплення Іноземними держава­ми конфіденційної державної і приватної інформації, а також відкри­тої інформації, яка передається урядовими й комерційними телеко-мунікаціями, може завдати шкоди держави. Оскільки обробка цієї інформації, зіставлення та об'єднання розрізнених відомостей може привести до розкриття державних секретів. Тому починаючи із се­редини 80-х років захист ліній зв'язку й автоматизованих систем став основним завданням компетентних державних органів США. Так, закон США «Про забезпечення безпеки ЕОМ» № HR - 145, прийня­тий Конгресом у травні 1987 року, встановив пріоритет національ­них інтересів при вирішенні питань безпеки інформації (приватної у тому числі). Цей нормативно-правовий акт встановив вимоги дер­жавних органів із забезпечення необхідного рівня захисту інформа­ції, які можуть бути поширені на будь-яку «важливу інформацію». При цьому цей закон встановив, що «важливою» є та інформація, «втрата якої або неправильне використання чи несанкціонована змі­на якої або доступ до якої можуть привести до небажаних впливів на національні інтереси». Цим же законом фактично встановлено нову категорію Інформації обмеженого доступу- «несекретна, але важ­лива з погляду національної безпеки». До цієї категорії інформації піднесена практично вся несекретна інформація урядових відомств, а також більша частина відомостей, що циркулюють або обробляють­ся в інформаційно-телекомунікаційних системах приватних фірм, корпорацій, які працюють на замовлення уряду США.

«Національна інструкція про забезпечення безпеки зв'язку США» № 6002, прийнята у червні 1984 року, встановила правила забезпе­чення зв'язку державних підрядників компетентними державними органами. Цей правовий акт дозволяє використовувати державним підрядникам шифрувальну техніку, виготовлену на замовлення АНБ, або ним сертифіковану. Зазначимо, що вивіз криптографіч­них пристроїв із США проводиться тільки із дозволу АНБ.

Закон США «Про захист приватної інформації про особу» 1974 року забезпечив захист персональних даних громадян, що збе­рігаються в державних архівах США, і визначив принципи захисту цього виду інформації. Існує велика кількість федеральних зако­нів, які захищають окремі категорії персональних даних, такі як: фінансова, кредитна звітність тощо, хоча загальнодержавного нор­мативно-правового акту не існує. Лише в 2000 році набув чинності єдиний на сьогоднішній день федеральний закон, який був прийня­тий конгресом у 1998 році, що спеціально регулює використання персональної інформації в Інтернеті - «Закон про захист онлайно­вых персональних даних дітей» (СОРРА). Цим законом встановлено, що збирати персональні дані про дітей віком до 13 років дозволено тільки зі згоди батьків. У 1999 році міністерство охорони здоров'я США випустило проект інструкцій, що захищають персональну медичну інформацію. Ці правила оприлюднені у 2000 році й набули чинності у квітні 2001 року. Законодавство СІЛА про захист пер­сональних даних постійно вдосконалюється. Про це свідчить за­конотворча діяльність Верхньої та Нижньої палат парламенту, які в 2001 році розглянули понад сто законопроектів з питань захисту персональних даних, зокрема: про невтручання у приватне життя, про недоторканність генетичних і медичних даних; інформації, яка поширюється через мережу Інтернет.

Закон «Про доступ до інформації» (FOIA) був прийнятий у 1966 році. До нього кілька разів було внесено зміни та доповнення. Цим законом право доступу до інформації є в кожного громадянина США, але до тієї інформації, яка зберігається у всіх державних ор­ганах, крім судів і Білого дому. Зазначимо й про те, що в законі є ще безліч виключень. У 1996 році прийнятий закон «Про свободу електронної інформації», який доповнив «Про доступ до інформації» FOIA положеннями про інформацію, що зберігається у електронному вигляді.

Промислово розвинутими країнами, зокрема США, накопичено значний законодавчий досвід у регламентуванні відносин у сфері захисту комерційної таємниці, забезпечення майнових інтересів власників торгових секретів, «ноу-хау».

Аналіз діючого законодавства США показує, що майнові інтер­еси власників виробничих, торгових, ділових секретів, «ноу-хау» охороняються нормами цивільного, торгового, кримінального, тру­дового права, законодавства про недобросовісну конкуренцію. У США діє спеціальне законодавство, яке об'єднує правила поведінки зацікавлених осіб у сфері використання торгових або ділових секре­тів. У США, країні прецедентного права, вирішення суперечок між сторонами здійснюється за допомогою прецедентних судових та ад­міністративних рішень.

Законодавство США у поняття «діловий секрет» включає різні види технічної інформації (формула, пристрій, метод, техніка і спосіб виробництва). Термін «ноу-хау» уперше був використаний у США в 1916 році у судовій справі «Дюранда проти Брауна».

У 1979 р. національна конференція членів Комісії з уніфікації права США з охорони ділових секретів рекомендувала «Єдиний закон про ділові секрети», який було введено в дію у 1980 р. (далі Закон). Згідно з § 1 (4), діловий секрет - це інформація (формула, пристрій, метод, техніка, спосіб), яка має самостійну економічну цінність (фактичну або потенційну), оскільки не є суспільною, або та, яка легко встановлюється за допомогою відповідних засобів іншими особами, які можуть отримати економічну перевагу від її розкриття або використання. А також яка є об'єктом зусиль, які необхідні для збереження її таємності.

• Таким чином, для того, щоб певна інформація була діловим се­кретом і підлягала охороні Законом, вона повинна відповідати на­ступним вимогам:

• мати потенційну економічну цінність, пов'язану з її таємністю;

• не бути загально- та легкодоступною;

• забезпечувати­ся розумною охороною з боку власника.

З прийняттям у 1979 р. у деяких штатах США однакового закону про ділові секрети й у контексті рішень, винесених судами, особливо рішення Верхо­вного Суду по справі «Ракелсхаус» проти «Монсато К°» (1984 p.), ділові секрети офіційно визнані видом власності. Новий статус власника ділових секретів створює і новий інструмент для захисту інтересів не тільки самого власника нематеріального об'єкта, але й його кредиторів і спадкоємців.

Ділові секрети в США охороняються «Законом про економічне шпигунство» (ЕА) від 1996 р. і «Уніфікованим законом про ділові секрети» (UTSA). За порушення першого закону може настати кри­мінальна відповідальність, за порушення другого - цивільна, при­чому одне не виключає іншого. Особливий інтерес до цієї проблеми пояснюється зростаючою роллю технологій в американській еконо­міці й чисельними випадками використання комп'ютерів і мережі Інтернет для проникнення в конфіденційні бази даних.

Випадки фактичного чи передбачуваного протиправного викорис­тання ділових секретів регулюються UTSA, a EA регулює випадки навмисного незаконного привласнення ділових секретів, у тому чис­лі конспіративними способами. На порушників ЕА може бути накла­дено штраф (до 500 тис. доларів) або тюремне ув'язнення терміном до 10 років (організація може бути оштрафована на 5 млн доларів). Якщо злочин навмисний і відбувається в інтересах іноземної держави, то максимальний термін тюремного ув'язнення може складати 15 років, а штраф - 10 млн доларів. У 1997 році за спробу продати дискети, крес­лення та інші матеріали з конфіденційною інформацією компанії, яка сама сповістила зацікавлену сторону про протиправну дію, що готу­ється, до 15 місяців тюремного ув'язнення було засуджено колишнього співробітника компанії «PPG Industries».

Оскільки порушники ЕА можуть понести кримінальне покаран­ня, законом передбачаються і більш строгі умови надання доказів, тобто вони повинні бути незаперечними. Крім того, для порушення кримінальної справи необхідно підтвердження навмисності про­типравних дій, тому в більшості випадків порушуються цивільні справи. Наприклад, у справі «PepsiCo & Redmond» найбільш склад­ним виявилося встановлення наявності ділового секрету як такого. При цьому суд враховував ступінь поінформованості про таємницю за межами компанії-позивача, ступінь обізнаності співробітників компанії «PepsiCo & Redmond» тощо, дієвість заходів інформацій­ної безпеки, що застосовувались, цінність конфіденційної інформа­ції як для позивача, так і для конкурентів, обсяги витрат, і, нарешті, чи могли інші особи одержати або відтворити цю інформацію.

Хоча для ділових секретів вимога новизни не є обов'язковою умо­вою, вони повинні являти собою недоступну громадськості інфор­мацію або комбінацію елементів інформації, кожний з яких окремо не складає секрету. При цьому власник інформації зобов'язаний пе­редбачити заходи щодо дотримання конфіденційності.

Після розгляду справи «PepsiCo & Redmond» поняття погрози незаконного привласнення ділового секрету включило в себе док­трину так званого «неминучого розкриття». Через 6 днів після того, як ознайомлений з деталями розвитку виробництва віце-президент Північноамериканського відділення «PepsiCo & Redmond» звільнив­ся і вирішив перейти на роботу до конкуруючої компанії, «PepsiCo & Redmond» подала позов до суду, вимагаючи заборони на такий пере­хід, оскільки це було пов'язано з ризиком «неминучого розкриття» надзвичайно важливих питань цінової та маркетингової політики. Суд першої інстанції задовольнив позов і зобов'язав відповідача не приступати до роботи в новій компанії протягом 6 місяців. Апеля­ційний суд підтримав рішення суду першої інстанції. У справі «Lumex & Highsmith» позивач вимагав дотримання уго­ди, відповідно до якої відповідачу (колишньому співробітнику) протягом 6 місяців після звільнення з компанії-позивача було за­боронено перехід на роботу до конкурента. Суд також задовольнив цей позов, зазначивши, що відповідач, обізнаний в деталях марке­тингової політики компанії, не вправі відразу ж переходити на ро­боту до конкурента. Однак суд відхилив позов компанії, яка вима­гала повної заборони на перехід у будь-якій якості свого колишньо­го службовця до конкурента.

Супротивники застосування доктрини «неминучого розкриття» вважають, що позивачі, що прибігають до неї, перетворюють угоду про не розкриття ділових секретів в угоду про неучасть у конкурен­ції. У зв'язку з цим необхідно дотримуватися інтересів компанії, змушеної охороняти свої ділові секрети, не обмежуючи прав служ­бовців, що підшукують нову роботу.

У США відповідальність за використання секрету не зніма­ється і з третіх осіб, якщо вони знали або повинні були знати, що наступне застосування технології порушує права його власника. «Закон США про економічне шпигунство» від 1996 р. встановив кримінальну відповідальність за привласнення комерційного се­крету, а також за сприяння іноземним державам або установам у їхньому викраденні.

Нормативно-правове забезпечення охорони державної таємниці.

Перший закон про захист інформації, як зазначалося вище, був прийнятий у США в 1906 році. У наш час там діють понад 500 зако­нодавчих актів, які передбачають відповідальність за розголошення інформації та за комп'ютерні злочини.

Для впровадження нового підходу до захисту державних секре­тів зазначені вище програми передбачали насамперед упорядку­вання роботи із засекречуванням матеріалів. Велика увага приді­лялася тому, які матеріали слід вважати секретними. Зокрема, про­понувався такий порядок: особа, яка має право визначати ступінь таємності, зобов'язана довести необхідність присвоєння того або іншого грифа.

Конгрес США найбільш важливими визнав такі види докумен­тів, що безпосередньо стосуються безпеки країни: плани оборони і військових операцій; шифри і криптографічне устаткування; ін­формація про джерела і методи розвідки; матеріали про сучасні пе­редові технології і вироби, виготовлені на їх основі.

Цікавим є питання правового регулювання відповідальності за розголошення державної таємниці у США. У США представни­ків преси не можна переслідувати судом за публікацію практично будь-якої секретної інформації; єдина категорія публікацій, що ка­рається судом, - це розкриття імен агентів розвідувальних служб, якщо публікація такої інформації завдає їм шкоди.

Однак державний службовець, відповідальний за надання ін­формації, може бути звинувачений у порушенні конфіденційності, притягнений до кримінальної або цивільної відповідальності або звільнений з роботи.

У США встановлена єдина система засекречування і захисту ін­формації з проблем національної безпеки. Ця система ґрунтується на тому, що інтереси Сполучених Штатів і громадян країни потре­бують захисту від несанкціонованого розголошення певної інфор­мації, яка стосується питань національної безпеки та іноземних справ. Зокрема, система захисту передбачає такі грифи:

• «цілком таємно» - для державної секретної інформації, що потребує найвищого ступеня захисту, несанкціоноване розго­лошення якої може завдати непоправної шкоди національній безпеці;

• «таємно» - для державної секретної інформації, що потребує значного ступеня захисту, несанкціоноване розголошення якої може завдати серйозної шкоди національній безпеці;

• «конфіденційно» - для державної секретної інформації, що потребує захисту, несанкціоноване розголошення якої може завдати шкоди національній безпеці.

Діє порядок розсекречування інформації після певного терміну зберігання. Виняток становлять окремі види інформації, що стосу­ються інтересів національної безпеки або потребують довгостроко­вого захисту, щоб уникнути розшифрування джерел, систем, засобів збору інформації. Ця система передбачає, що підрозділ або відповід­на посадова особа можуть накладати обмеження щодо доступу до секретної інформації, її видачі й захисту. Такі обмеження познача­ються спеціальним маркуванням і паролем.

Діють і правила секретного діловодства в урядових установах. Робота з удосконалення перевірки осіб, які розпоряджаються се­кретною інформацією, особливо урядових чиновників, співробітни­ків спецслужб і фахівців фірм, котрі володіють передовою техноло­гією, є найбільш важливою для американських контррозвідувальних органів. Зокрема, постійно вдосконалюється законодавство США щодо захисту державних секретів і боротьби з шпигунством. Вживаються додаткові заходи із недопущення витоку пріоритетної науково-технічної інформації при проведенні різних міжнародних форумів за участю американських представників. Органам розслі­дування надається широкий доступ до документів, що містять ін­формацію про прибутки і пересування осіб, допущених до особливо важливих секретних робіт і документів, а також право вибіркової перевірки на поліграфі співробітників шифрувальних органів. При виявленні осіб, які зберігають шпигунську техніку, останні несуть передбачене законом покарання. Громадяни, засуджені за шпигун­ство, позбавляються права одержувати прибутки від публікації книг і випуску кінофільмів про їхню шпигунську діяльність.

Особлива увага в США звертається на запобігання зловмисним діям персоналу інформаційно-обчислювальних систем і систем без­пеки, особливо співробітників, які вже мають допуск до секретної інформації.

Суворе розмежування інформації за категоріями таємності й удосконалення систем безпеки комп'ютерів сприяє виявленню спів­робітників, котрі намагаються збирати інформацію, яку не повинні знати. Враховуються також закордонні відрядження співробітників і шлюби з особами, які мають громадянство інших держав.

Для спрощення структури систем безпеки в США була розро­блена і діє методика оцінки витрат на заходи і засоби безпеки. Саме вона дає можливість підрахувати кошти, які витрачаються на без­пеку, адже важко підрахувати те, що не можна виміряти. Підлягають захисту в США й інформаційні та обчислювальні системи.

Із серпня 1999 року в рамках загальнонаціональної компанії з під­вищення жорсткості режиму таємності міністерством енергетики США були запровадженні вимоги, які зобов'язали американських учених, що працюють у секретних військових лабораторіях, обов'язково доповідати до органу, який займається захистом інформації міністерства, про всі свої зв'язки з іноземними громадянами. Відповідно до цих ви­мог майже п'ять тисяч американських учених-ядерників пройшли перевірку на «детекторі брехні»; вжито цілий ряд заходів для захисту інформації, що передається електронними каналами зв'язку; здійсню­ється обов'язкова інтенсивна попередня перевірка всіх іноземних візи­терів, крім того, співробітники Міністерства енергетики, котрі мають допуск до роботи із «закритою інформацією», зобов'язані повідомляти про «близькі і тривалі» контакти з іноземцями із 25-ти країн, у відно­синах з якими США виявляють особливу обережність.

Зазначимо, що захист інформації в США покладено на контр-розвідувальні органи. Контррозвідувальна програма США має дов­гостроковий комплексний характер і передбачає практичну реалі­зацію американською адміністрацією і спецслужбами на плановій основі ряду конкретних заходів, у тому числі зовнішньополітичних, із використанням усіх сил і засобів розвідувальних і контррозвідувальних служб.

Багато компонентів контррозвідувальної програми за своїм масштабом, силами і засобами фактично є самостійними націо­нальними програмами. Наприклад, забезпечення безпеки амери­канських установ, різних об'єктів і громадян за кордоном, контррозвідувальна освіта населення США тощо.

Відповідальним за реалізацію контррозвідувальної програ­ми США є Федеральне бюро розслідувань (ФБР). Основою всієї контррозвідувальної програми є виявлення «зовнішньої загрози національній безпеці країни».

Діяльність контррозвідувального управління ФБР постійно спрямована на посилення боротьби зі шпигунством у науково-тех­нічній і економічній сферах. Контррозвідувальна діяльність Бюро усередині країни проводиться за кількома програмами. Головна увага останнім приділяється контролю за діяльністю іноземних представників на території США шляхом організації постійного оперативного спостереження за співробітниками дипломатичних, консульських та інших установ, а також за їх відвідувачами, контр­олю телефонних, поштових, електронних та інших каналів зв'язку.

Особливо важливим напрямком діяльності контррозвідуваль­ного управління ФБР є ведення розробок і слідства у справах про шпигунство стосовно американських громадян, іноземців і осіб без громадянства. Так, за даними Американського товариства промис­лової безпеки (ASIS), випадки шпигунства, спрямованого на різні галузі промисловості США за останні п'ятнадцять років зросли на 260 відсотків. Саме тому економічні правопорушення і корупція в компаніях завдають щорічно збитків на 260 млрд доларів, а також ще на 140 млрд у закордонних операціях.

У зв'язку зі значним поширенням промислового шпигунства 11 жовтня 1996 року був прийнятий закон про економічне шпигун­ство, що стало позитивним кроком в удосконаленні законодавства у сфері охорони відомостей, які потребують захисту. Цей закон на­правлений на захист насамперед торгових секретів і націлений на боротьбу з промисловим шпигунством. У відповідності до цього за­кону викрадання торгового секрету прирівнюється до федерально­го злочину. Особа, викрита в промисловому шпигунстві, може бути засуджена до 10 років тюремного ув'язнення і штрафу в розмірі 250 000 доларів. Організації, що чинять такі порушення, можуть бути оштрафовані на суму до 5 мли доларів.

Для підвищення ефективності боротьби з розвідувальною діяль­ністю іноземних спецслужб законодавство СІМА надає ФБР право доступу до інформації, яка раніше не використовувалась у контр-розвідувальних цілях. Насамперед, контррозвідка має доступ до інформаційних банків даних податкової служби СІМА. Також до­зволяється контролювати офіційні й неофіційні контакти амери­канських секретоносіїв із представниками іноземних держав, які проводять активну розвідувальну діяльність щодо США. У США створено Національний центр захисту інфраструктури (NIPC), завданням якого є попередження та розслідування комп'ютерних злочинів та координація роботи інших центрів.