Законодательный уровень

Информационные технологии пронизывают нашу жизнь, поэтому совершенно естественно, что правоотношения в данной сфере уже давно регулируются развитым законодательством, в котором немалое внимание уделяется информационной безопасности.

Участниками правоотношений являются субъекты правоотношений, к которым в области ИБ можно отнести (рис. 3.2):

• обладателей информации,
  
  
• потребителей информации,
  
  
• операторов информационных систем,
  
  
• владельцев интернетовских сайтов,
  
  
• провайдеров телекоммуникационных сетей,
  
  
• разработчиков программных и аппаратных средств информационных технологий и др.
  
  

Права и обязанности субъектов правоотношений определяются по отношению объектам правоотношений, к числу которых могут быть отнесены, например:

• информационные системы (государственные и частные);
  
• средства защиты информации (алгоритмы шифрования и программы реализующие их, аппаратные ключи, используемые для аутентификации и т. п.);
  
• услуги, оказываемые в области ИБ;
  
• информация ограниченного доступа, в том числе информация, составляющая государственную, коммерческую, банковскую, семейную тайну, тайну переписки, персональные данные и др.

Необходимость защиты информационных ресурсов и поддерживающей их инфраструктуры диктуется как нашими правами на защиту (например, каждому гражданину должна быть обеспечена защита от раскрытия его персональных данных), так и обязанностями ее защищать (каждая организация, оперирующая персональными данными, обязана защищать их от раскрытия).

В области ИБ, как и в других областях, реализация прав одного субъекта влечет за собой обязанность соблюдение прав и законных интересов других лиц, в том числе обязанность принимать меры по защите информации.

Правоотношения, регламентируются нормативными правовыми актами (рис. 3.2).

Нормативно-правовой акт – это официальный документ, принятый компетентным правотворческим органом, устанавливающий общеобязательное государственное предписание, рассчитанное на многократное применение.

Система нормативных правовых актов, действующих на территории страны, принятых законодательным (представительным) органом, называется законодательством.

Законодательство в широком смысле включает Конституцию и общепризнанные принципы и нормы международного права, законы РФ, принимаемые государственной Думой, и подзаконные нормативные акты — указы Президента, постановления Правительства, нормативные акты федеральных органов исполнительной власти (министерств и ведомств) и т. п.

Постановления правительства направлены на реализацию соответствующих федеральных законов. Эту же цель преследуют нормативные акты основных правовых регуляторов: Совета безопасности, ФСБ, ФСО, ФСТЭК, СВР, Министерства Обороны, МВД, Минсвязи и др.

В Приложении 1 приводится краткий обзор нормативно-правовых актов Российской Федерации в сфере информационной безопасности.

Законодательство включает меры ограничительно-репрессивного характера, направленные на предотвращение нарушений, в том числе путем применения наказаний (например, уголовный кодекс), и меры созидательного характера, направленные на координацию работ в сфере ИБ, обучение и помощь в создании и использовании средств обеспечения информационной безопасности (например, стандарты).

К числу нарушений законодательства в области ИБ относят как традиционные «компьютерные» преступления, такие как нарушения доступности ИС (DDoS–атаки), использование вредоносного ПО, превышение привилегий, несанкционированный доступ и др., так и нарушения регламентирующих правил: отсутствие лицензии на определенный вид деятельности в области защиты информации, использование несертифицированных продуктов, там, где это требуется законом (например, средств шифрации при работе с информацией, составляющей государственную тайну).

Определение нарушений и соответствующих наказаний в области ИБ можно найти в Уголовном, Семейном, Гражданском кодексах, кодексе об административно-правовых нарушениях, а также в нормативных актах федеральных органов исполнительной власти.

К сожалению, законодательство в области кибер-преступности еще не устоялось – ему всего десять лет. Правовые акты часто не успевают за стремительным развитием информационной сферы. Специалисты находят в новых законах неоднозначность и противоречивость некоторых терминов и положений, неопределенность того, когда следует применять специально предусмотренные наказания за киберпреступления, а когда - применять другие «традиционные» статьи уголовного кодекса.

В некоторых случаях специалисты права, соглашаясь с общественным мнением, отмечали неадекватность компьютерных преступлений и соответствующих наказаний. Так, например, в 2012 году братья Попелыши посредством использования фишинга завладели банковскими данными граждан и совершили хищение на сумму в полмиллиона долларов.

Однако в соответствии с нынешним законодательством их преступление не было квалифицировано как кража, так как электронные деньги по закону не являются объектом кражи. В результате первого в истории РФ дела о фишинге преступники были приговорены лишь к условным срокам за неправомерный доступ к компьютерной информации, а также за использование и распространение вредоносных программ.

Другим примером является дело о DDoS-атаке, проведенной в 2010 году на платежную систему авиакомпании «Аэрофлот». Из-за этой атаки компания понесла убытки почти в 150 миллионов рублей, а преступники получили по два с половиной года тюрьмы.

В связи завершением расследования топ-менеджер «Лаборатории Касперского» по юридическим вопросам Игорь Чекунов задается риторическими вопросами:
«Преступный умысел был направлен на причинение имущественного ущерба посредством DDoS-атаки. А наказываем за что?
За неправомерный доступ к охраняемой законом информации. Является это адекватным? Нет. Там же было совершено другое преступление, явно не только информационное. Был там причинен имущественный ущерб? Да. Есть соответствующая статья Уголовного кодекса, «Причинение имущественного ущерба» — вот ее и надо применять.»

В данном случае мы наблюдаем парадоксальную ситуацию, когда наказание определяется не за то, на что направлен умысел лица, совершающего это преступление (хищение в особо крупном размере), а за инструмент и способ совершения преступления (использование вредоносных программ).

Как правило, расследование компьютерного преступления включает значительную техническую составляющую, поэтому очень важной задачей компьютерной криминалистики является подготовка экспертов и методических рекомендаций для проведения технических судебных экспертиз.

Еще одним характерным примером сложностей применения законов к кибер-преступлениям является известное дело против компании Google по поводу сбора ею данных для проекта Street View. Этот проект дал пользователям Интернет замечательную возможность виртуально посетить многие города и посмотреть на улицы и дома глазами пешехода. Для создания такой виртуальной реальности автомобили Google проехали по улицам и переулкам, снимая все на камеру.

Однако скоро выяснилось, что сотрудники Google занимались не только съёмкой зданий, но и записью данных локальных беспроводных сетей, установленных в этих зданиях, в том числе паролей и сообщений электронной почты.

В результате во многих странах были возбуждены уголовные дела против Google, некоторые из которых тянутся до сих пор.
Во время одного из таких разбирательств в США адвокаты Google пытались доказать , что сотрудники компании не нарушили американский Wiretap Act , потому что собранные данные были подобны данным, передаваемым радиостанциями для публичного потребления, так как радиоволны, которые использовал Google, распространялись за пределы частного жилища. После тщательного рассмотрения аргументов сторон суд отклонил аргументацию Google и этот конкретный иск все еще находится в стадии рассмотрения.

Важным направлением законодательства является стандартизация.

Стандартизация - деятельность, направленная на достижения оптимальной степени упорядочения в определённой области посредством установления положений для всеобщего и многократного использования в отношении реально существующих или потенциальных задач [из закона РФ о техническом регулировании].

Универсальный тезис о пользе стандартизации, справедливый для всех отраслей, особенно справедлив в отношении информационных систем. Основой практически всех информационных систем являются компьютерные сети. Сущностью сети является соединение разного оборудования, а значит, проблема совместимости является здесь одной из наиболее острых.

Без согласования всеми производителями общепринятых стандартов для оборудования и протоколов прогресс в деле «строительства» сетей был бы невозможен. Поэтому все развитие компьютерной отрасли вообще и средств информационной безопасности в частности отражено в стандартах — любая новая технология только тогда приобретает «законный» статус, когда ее содержание закрепляется в соответствующем стандарте.

Закон РФ N 65-ФЗ «О техническом регулировании» определяет понятие «стандарт» следующим образом:

• Стандарт – это «документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать правила и методы исследований (испытаний) и измерений, правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения».
  
  

По умолчанию соблюдение стандарта не является обязательным (если явно не указана обязательность его исполнения). Однако существует множество причин, по которым большинство компаний, предприятий, частных лиц, организаций добровольно выбирают следование стандартам.

Мы уже говорили о стандартизации – как средстве обеспечения совместимости информационных технологий, продуктов и терминологии. Следование стандартам также позволяет создавать более качественные, более конкурентоспособные технологии, системы и услуги, так как стандарты – это концентрированное выражение передовой технической мысли, они аккумулируют актуальные теоретические знания и так называемые «лучшие практики».

Стандарты дают специалистам единое средство общения, язык, который они понимают одинаково. Это особенно важно в тех случаях, когда решается проблема, лежащая на стыке разных отраслей знаний. Такая ситуация возникает, например, при анализе рисков предприятия, когда в одной рабочей группе, оказываются специалисты по компьютерным технологиям и бизнес-процессам. Именно это является одной из причин, по которой так востребованы стандартные методики управления рисками.

Стандартные процедуры оценки систем дают возможность их сопоставления и сравнения, на основании чего может выполняться сертификация систем на соответствие определенным требованиям. Сертификация информационных систем на соответствие требованиям безопасности регулируется достаточно обширным набором стандартов. В главе 18 мы подробно рассмотрим самые известные из них - «Оранжевую книгу» и «Общие критерии».

Стандарты часто образуют «семейства», члены которого объединены неким общим признаком, например, они относятся к одной предметной области, но описывают ее с разной степенью детализации. В Работы по стандартизации вычислительных сетей и средств безопасности ведутся большим количеством организаций.

В нашей стране главную организационную роль в стандартизации играет Федеральное агентство по техническому регулированию и метрологии (Росстандарт). Росстандарт создает и координирует рабочие группы по разработке стандартов, организует общественное обсуждение и экспертизу новых стандартов, утверждает и публикует документы по стандартам, ведет учет и распространение национальных стандартов.

В законе РФ о техническом регулировании говорится, что разработчиком стандарта может быть любое лицо, но как правило, стандарты разрабатываются рабочими группами (техническими комитетами), в состав которых на добровольной основе могут включаться представители органов исполнительной власти, научных, коммерческих и некоммерческих организаций, общественных объединений.

Одним из основных принципов стандартизации является ориентация на тех лиц, кто в наибольшей степени заинтересован в существовании стандартов.

Поэтому очень часто разработчиками стандартов являются компании и организации, много и успешно работающие в той области, для которой они предлагают стандарты.

В зависимости от статуса организаций различают следующие виды стандартов:

• Международные стандарты, основными разработчиками которых в области информационных технологий являются Международная организация по стандартизации (International Organization for Standardization, ISO), Международная электротехническая комиссия (International Electrotechnical Commission, IEC) и Международный союз электросвязи (International Telecommunication Union, ITU).
  
  
• Национальные стандарты. К ним относятся, например, государственные стандарты Российской Федерации, ГОСТы. Международный авторитет имеет национальный орган стандартизации - Британский институт стандартов (British Standards Institution, BSI). Большое количество общепризнанных стандартов вышло под эгидой неправительственной некоммерческой организации США Национального института стандартов и технологий (National Institute of Standards and Technology, NIST).
  
  

• Стандарты специальных комитетов и объединений. К таковым относится, например, разветвленная система стандартов консорциума W3C (World Wide Web Consortium), который объединяет крупнейшие мировые компании и корпорации. Этот консорциум занимается стандартизацией Web-технологий, включая решения по обеспечению безопасности этого сервиса.
  
  
• Корпоративные стандарты отдельных компаний. Широкое распространение получили, например, корпоративные стандарты компании Microsoft в области создания безопасного программного обеспечения, управления рисками и др.
  
  

Некоторые стандарты, непрерывно развиваясь, могут переходить из одной категории в другую. В частности, корпоративные стандарты на продукцию, получившую широкое распространение, обычно становятся международными стандартами де-факто, так как вынуждают производителей из разных стран следовать корпоративным стандартам, чтобы обеспечить совместимость своих изделий с этими популярными продуктами. Например, из-за феноменального успеха персонального компьютера компании IBM фирменный стандарт на архитектуру IBM PC стал международным стандартом де-факто.

Более того, ввиду широкого распространения некоторые корпоративные стандарты становятся основой для национальных и международных стандартов де-юре. Например, стандарт Ethernet, первоначально разработанный компаниями Digital Equipment, Intel и Xerox, через некоторое время и в несколько измененном виде был принят как национальный стандарт IEEE 802.3, а затем организация ISO утвердила его в качестве международного стандарта ISO 8802.3.