Размещено на http://allbest.ru

Забезпечення інформаційної безпеки США

У значній кількості офіційних документів США, зокрема в Доповіді комісії з національної оборони ("Transforming Defense National Security in the 21-st Century, Report of the National Defense Panel")^[1], констатується, що "проблеми XXI століття будуть якісно і кількісно відмінними від тих, які були характерними для періоду холодної війни, у зв'язку з чим стануть необхідними докорінні зміни інститутів національної безпеки, воєнної стратегії та підходів до питань оборони до 2020 року".

Головною стратегічною метою держави Комітет начальників штабів США визначає "всеосяжне панування", основною складовою досягнення якого визначається інформаційне домінування в усіх сферах: воєнній, фінансовій, торгівельній, психологічній, юридичній та інших.

Відповідно до заяв експертів корпорації RAND інформаційна стратегія поки що залишається поняттям, яке важко достатньо чітко визначити. Однак, в США в процесі виникнення та розвитку новітніх інформаційних технологій, формування та становлення інформаційного суспільства було сформульовано декілька підходів щодо ЗІБ держави.

Одна з моделей передбачала створення значної переваги держави (потенційного ініціатора ІВ) в наступальних видах озброєнь, у знешкодженні систем захисту держави-супротивника засобами інформаційного впливу, координації дій із союзними державами з використаннями визначених засобів інформаційної зброї для ідентифікації будь-яких джерел і типів інформаційних загроз. Практичне втілення цієї моделі спостерігалося під час проведення інформаційної операції "Союзницька сила" (1999 р.), яку США та інші держави-члени НАТО здійснили проти Союзної Федеративної Республіки Югославія.

Інша модель, яка розглядалась в політичних колах США, передбачала наявність кількох держав-інфолідерів та потенційного протиборства між ними, визначення фактору стримування експансії інформаційних загроз, а в перспективі - забезпечення домінування США у сфері міжнародної ІБ з можливостями значного впливу на глобальну інфосферу та переважного права вирішення проблем глобального світового порядку.

Дослідження ЦРУ США періоду 1990-х років визначали основними джерелами загроз для США в кіберпросторі тільки дві держави - Росію і Китай. У військовій доктрині збройних сил США (Концепція "Force XXI" 1996 р.), було запропоновано дві складові театру воєнних дій - традиційний простір і кіберпростір, основними об'єктами впливу, крім відомих у теорії війн, стали інформаційна інфраструктура і соціопсихологічна сфера (human network) потенційного супротивника. Експерти США відзначають - на сучасному етапі понад 30 держав світу планують та втілюють стратегію різних видів інформаційних операцій, а держави, що конфронтують зі США, включають ІВ до своїх воєнних доктрин^[2].

Разом з тим, серед численних аналітичних розробок у сфері ІБ на найбільшу увагу заслуговує концепція Джозефа С. Ная та Уільяма А. Оуенса, яка передбачає створення абсолютної системи захисту США як держави- інфолідера проти будь-якого виду наступальної інформаційної зброї, що обумовлює об'єктивні переваги в потенційній ІВ, змушує інші держави шукати альянсу у військово-інформаційних діях з державою-інфолідером. При цьому може бути використано систему жорсткого контролю над інформаційним озброєнням противника на підставі потенційних міжнародних документів з ІБ.

Зокрема, у дослідженні Дж. Ная та У. Оуенса "America's Information Edge: the Nature of Power" (1996 p.) стверджується провідна роль США в інформаційній революції, тобто у використанні найважливіших засобів комунікації та інформаційних технологій (супутникового стеження, прямого мовлення, надпотужних комп'ютерів, унікальних можливостей в інтегруванні складних інформаційних систем), а також у проведенні політики стримування і нейтралізації традиційних воєнних загроз та нових видів озброєнь^[3].

Автори дослідження зазначають, що у сучасному світі, детрансформовано поняття "ядерної парасольки" та стратегії неядерного стримування, наявність інформаційних переваг обумовлює збереження світового лідерства за допомогою нових засобів впливу та закріплення домінуючої ролі в альянсах і тимчасових коаліціях.

В роботі підкреслюється, що інформаційне лідерство посилює ефект американської дипломатії як інструменту "м'якої сили", створює широкі можливості для використання інформаційних ресурсів у конструктивному діалозі із потенційними супротивниками - Китаєм, Індією, Росією та іншими інформаційно- розвинутими державами - з проблем міжнародної безпеки. Водночас таке інфолідерство США забезпечує протидію нарощуванню інформаційних озброєнь в потенційно агресивних країнах (Іран, Ірак, Пакистан).

Наявні переваги США в інформаційній сфері, на думку цих дослідників, сприятимуть запобіганню та врегулюванню регіональних конфліктів, вирішенню проблем, пов'язаних із глобальними загрозами, які виникли після закінчення "холодної війни": міжнародною злочинністю, тероризмом, поширенням зброї масового ураження, глобальною екологічною деградацією.

Концепція ж глобальної ІБ з точки зору забезпечення політичних інтересів США полягає у впровадженні доктрини "інформаційної парасольки", яка має замінити доктрину "ядерної парасольки", на основі взаємовигідного обміну інформацією різного характеру (переважно військового) для міжнародного співробітництва і підтримання миру.

Таким чином, наукові та громадські дискусії щодо теми ІБ в американському суспільстві призвели до того, що переважна більшість робіт за останні роки згрупувалася навколо двох основних напрямів. Перший напрям - технологічний: у цих роботах обговорюються проблеми ІБ і захисту інформації в комп'ютерних системах та комп'ютерних мережах.

Ключові питання, які постають в даному контексті, базуються на сукупності існуючих та потенційних загроз інформаційній інфраструктурі США, здатних привести до реалізації різних форм атак, цілеспрямованих акцій з використанням кіберпростору.

Дослідники, які є прихильниками цього напряму, стурбовані, насамперед тим, як захиститися від подібних атак, що можуть реалізовуватися ворожими щодо США режимами, терористами і злочинцями, а також тим, як використовувати наявні у кіберпросторі можливості для протидії цим загрозам.

Другий напрям розгляду цієї проблеми складають підходи, пов'язані з політичним та ідеологічним змістом процесів інформатизації. В такому розумінні інформаційна стратегія розглядається як засіб використання "м'якої сили" з метою поширення "американських ідеалів демократії" серед інших народів та держав.

Дебати за цим напрямом ведуться головним чином щодо переваг, які можуть бути отримані в результаті відкриття і розподілу американських інформаційних ресурсів та інформаційної інфраструктури із союзниками й іншими державами в таких сферах, як формування коаліцій держав та розвідка. Крім того, одночасно акцентується увага на ролі засобів масової інформації й глобальної мережі Internet у формуванні громадської думки.

На думку експертів RAND, захист національної інформаційної інфраструктури повинен бути пріоритетним напрямом діяльності американського державного і приватного сектору, але така позиція є далекою від адекватної відповіді на нові виклики, навіть для розвитку технологічного виміру як основи для створення інформаційної стратегії. Аналітики повинні розглядати проблему захисту інфраструктури більш широко, повніше бачити всі погрози в кіберпросторі, а не лише зважати на її технологічну уразливість.

Результати досліджень, отримані протягом останніх років за цією проблематикою, викладені в звіті RAND/MR-1033-OSD "The Emergency of Noopolitik: Toward an American Informational Strategy"^[4]дозволили експертам корпорації RAND зробити висновки про те, що традиційна стратегія на сучасному етапі зазнає глибоких і докорінних змін. Експерти в сфері ІБ нещодавно прогнозували потенціал держав-опонентів у просторі, що включав три основних виміри - політичні, економічні і військові можливості держави. інформаційний комп'ютерний персональний безпека

Сьогодні, завдяки "інформаційній революції" вони стали свідками народження нової сфери - "інформаційної стратегії". І хоча цей напрямок ще не до кінця сформовано, можна передбачити, що він приведе до перегляду основних понять у сфері національної безпеки.

Таким чином, розглядаючи еволюцію підходів до місця і значення інформаційної складової в забезпеченні національної безпеки США, можна дійти висновків, що трансформація суспільства під впливом інформаційних технологій спричинила необхідність перегляду поняття ІБ як ключової ланки системи національної безпеки в США та появу нових підходів та моделей щодо її забезпечення з їх подальшим практичним втіленням.

Перша модель - створення значної переваги в наступальних видах озброєнь США, як потенційного ініціатора ІВ, шляхом знешкодження систем захисту держави-противника засобами інформаційного впливу (операція "Союзницька сила" 1999 р., СФРЮ);

Друга модель - існування кількох держав-інфолідерів та потенційного протиборства між ними з подальшим забезпеченням домінування США і можливістю впливу на світову інформаційну систему, де основним джерелом загроз для США виступають Росія та Китай.

Третя модель - основна - передбачає створення абсолютної системи захисту США, як держави-інфолідера, проти будь-якого виду наступальної інформаційної зброї, що обумовлює об'єктивні переваги в потенційній ІВ і змушує інші держави шукати альянсу зі СІЛА у військово-інформаційних діях.

Таким чином проблема ЗІБ США своє теоретичне відображення знаходить у двох основних напрямах - технічному та ідеологічному, які в сукупності мають забезпечити головну стратегічну мету - "всеохоплююче панування" США в світі, засноване на інформаційному домінуванні цієї держави в усіх сферах (політичній, військовій, економічній тощо).

Нормативно-правове регулювання забезпечення інформаційної безпеки США

Ефективність ЗІБ США, так само як кожної держави світу в першу черги залежить від досконалості нормативно-правового регулювання діяльності відповідної системи державних та громадських органів, а також неурядових організацій.

Законодавство США в сфері ЗІБ утворює сукупність федеральних законів, законів штатів та нормативних актів, які створюють правову основу для формування і проведення державної політики в сфері ІБ. Законодавства штатів у сфері ІБ досить різноманітне, оскільки нормативні акти окремих штатів дуже різняться між собою.

Американський законодавець значну увагу приділив питанням забезпечення безпеки інформації в державних комп'ютерних системах (закони США "Про комп'ютерну безпеку" та "Про удосконалення інформаційної безпеки"), протидії комп'ютерній злочинності (закони "Про комп'ютерне шахрайство та зловживання" та "Про зловживання комп'ютерами"), регулювання співвідношення прав громадян на отримання інформації (закони "Про свободу інформації" та "Про висвітлення діяльності уряду") та конфіденційності їх приватного життя (закон "Про охорону персональних даних").

Розглядаючи положення законодавства США в зазначеній сфері, можна зробити висновок про те, що воно спрямоване на одночасне забезпечення права громадян на інформацію та конфіденційність їх приватного життя, а з іншого - на ЗІБ, як важливої складової національної безпеки держави, тобто зорієнтовано на збереження балансу інтересів особи, суспільства та держави.

Перший закон у сфері ЗІБ держави був прийнятий у США ще у 1906 р.: це був Закон "Про захист інформації". На сучасному етапі правову основу для формування і проведення державної політики США в сфері ІБ в інтересах забезпечення національної безпеки держави утворюють понад 500 федеральних законів та значна кількість законів штатів.

З метою визначення основних напрямів ЗІБ США розглянемо наступні законодавчі акти - закони "Про свободу інформації", "Про охорону персональних даних", "Про інформаційну таємницю", "Про висвітлення діяльності уряду", "Про комп'ютерну безпеку", "Про забезпечення безпеки ЕОМ", "Про таємність електронного зв'язку", "Про комп'ютерне шахрайство та зловживання", "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання", "Про підвищення кібернетичної безпеки", "Про посилення повноважень спецслужб", "Про патріотизм", "Про боротьбу з тероризмом", "Про внутрішню безпеку", "Про реформування американської розвідки та запобігання терористичним актам", кримінальні кодекси штатів, директиви Президента США та відповідні стратегії США в інформаційній сфері: Національну стратегію боротьби з тероризмом, Національну стратегію фізичного захисту критичної інфраструктури та Національну стратегію безпеки кібернетичного простору.

Правове регулювання доступу до офіційних документів уряду США передбачено в Законі США "Про свободу інформації" (Freedom of Information Act), який було прийнято в 1966 р. Згідно із положеннями цього закону уряд США зобов'язаний оприлюднювати правила, кінцеві рішення по спірним питанням, політичні заяви та інші правові джерела. Така законодавча позиція є гарантією від створення "таємного (закритого) законодавства".

Дія Закону США "Про свободу інформації" поширюється на всі міністерства та відомства, незалежні комісії та інші комітети, управління та відділи, які входять до складу виконавчої гілки влади. Відповідно до цього Закону, будь-який з подібних закладів зобов'язаний оприлюднювати інформацію, що міститься в кожному обліковому документі. При цьому важливою особливістю Закону є закріплене у ньому право приватних осіб, які намагаються отримати певний документ, не надавати пояснення, для чого він їм потрібен.

Разом з цим, цей закон регулює межі права громадськості на доступ до урядової інформації, коли воно поступається місцем іншим цінностям. Зокрема, головне виключенням в зазначеному законі є зустрічне право органів виконавчої влади засекретити відповідним указом чи іншим чином документи з метою збереження у таємниці змісту матеріалів, які стосуються оборони держави або її зовнішньої політики, в інтересах забезпечення національної безпеки США.

У 1976 р. Конгрес США прийняв Закон "Про висвітлення діяльності уряду", який відкрив громадськості доступ до всіх зборів, які проводяться міжвідомчими федеральними органами влади. Закон передбачає відкритість для громадськості всіх засідань колегіальних органів адміністративних агентств, які складаються з осіб, які призначаються президентом, щодо яких приймаються конкретні рішення.

Водночас передбачені в Законі виключення зі сфери застосування Закону США "Про висвітлення діяльності уряду" побудовані аналогічно виключенням Закону "Про свободу інформації", та стосуються насамперед інформації, яка має секретний характер й відноситься до сфери забезпечення національної безпеки та зовнішньополітичних аспектів діяльності уряду.

Важливим аспектом правового регулювання ЗІБ США є забезпечення конфіденційності приватного життя громадян. Особливу роль в регулюванні цього питання відіграє Закон США "Про охорону персональних даних" який був прийнятий у 1974 р.

Цей Закон містить в собі два положення, які мають принципово важливе значення з погляду захисту недоторканності життя особи. По-перше, у преамбулі Закону право на приватність вперше визначене як "особисте і фундаментальне право, яке охороняється Конституцією США" і тим самим офіційно прирівняне до основних цивільних прав і свобод. По-друге, закон встановлює заборону на збір і збереження інформації про те, як індивід здійснює свої права, передбачені першою поправкою до конституції (свободу слова і друку, свободу віросповідання, свободу зборів і подачі петицій), за винятком випадків, коли це прямо передбачено законом або дозволене самим індивідом, або коли це має безпосереднє відношення до правоохоронної діяльності.

Закон США "Про охорону персональних даних" закріплює за індивідом - суб'єктом персональних даних - комплекс прав, які дозволяють йому здійснювати превентивний контроль за тим, як його право на інформаційну приватність дотримується федеральними відомствами і їх посадовими особами. До їхнього числа відносяться: право бути обізнаним про існування системи персональних даних; право бути обізнаним про цілі збору й обробки інформації; право на доступ до своїх персональних даних, на їхнє вивчення і отримання копії всіх даних чи їхньої частини; право вимагати внесення змін і доповнень у свої персональні дані.

Одночасно закон накладає на урядові відомства ряд зобов'язань і обмежень, які стосуються збору і використання персональної інформації:

1) відомства правомочні накопичувати тільки таку інформацію про індивіда, яка має безпосереднє відношення до їх компетенції. Дані, які накопичуються, повинні відповідати вимогам "вірогідності, відповідності, своєчасності і повноти";

2) встановлюється загальний режим конфіденційності персональних даних: їхнє розкриття чи передача третім особам або іншим відомствам дозволяється лише за вимогою чи з письмовою згодою суб'єкта персональних даних. Такий режим покликаний забезпечити дотримання одного з основних принципів інформаційної практики: інформація, отримана для визначеної мети, не може бути використана для інших цілей.

Разом з тим закон передбачає низку виключень із правила конфіденційності. Одне з них - застереження щодо "рутинного використання" - створює широкі можливості для порушення режиму конфіденційності й обміну персональною інформацією між відомствами. Це застереження дозволяє відомству використовувати персональні дані і розкривати їх для цілей, сумісних (але не обов'язково співпадаючих) з тією метою, для якої була зібрана інформація.

Саме застереження про "рутинне використання" дозволили впровадити в інформаційну практику відомств комп'ютерну верифікацію - проведення за допомогою комп'ютерних технологій зіставлення двох чи більш систем персональних даних. Таке зіставлення дозволяє об'єднати наявну в різних системах персональну інформацію в єдиний банк даних і одержати більш повний "інформаційний портрет" індивіда.

Зазначений Закон США "Про охорону персональних даних" був одним з перших у світі законів про захист персональних даних і послужив відправним пунктом для законотворчості в інших індустріальних державах. Однак, на думку численних критиків, дія принципів, покладених в його основу, багато в чому послаблюється нечіткістю формулювань, що дозволяють відомствам обходити незручні для них вимоги закону, і численними виключеннями. Окрім того, комп'ютерні технології пішли далеко вперед, і правове регулювання вже не відповідає потребам забезпечення інформаційної приватності в сучасних умовах автоматизованої обробки персональних даних. Саме тому закон потребує перегляду й оновлення.

У 1977 р. у США вперше був розроблений законопроект "Про захист федеральних комп'ютерних систем", який передбачав кримінальну відповідальність за:

- уведення свідомо помилкових даних у комп'ютерну систему, незаконне використання комп'ютерних пристроїв;

- внесення змін у процеси оброблення інформації або порушення цих процесів, розкрадання коштів, цінних паперів, майна, послуг, цінної інформації, здійснені з використанням можливостей комп'ютерних технологій або комп'ютерної інформації.

На сучасному етапі важливу роль у сфері нормативно-правового регулювання ЗІБ США відіграє Закон "Про комп'ютерну безпеку". Головна мета цього Закону полягає в реалізації без обмежень необхідних та достатніх заходів із забезпечення безпеки інформації у федеральних комп'ютерних системах. Відповідальним за виконання вимог Закону визначений Національний інститут стандартів і технологій (NIST), який забезпечує випуск стандартів і посібників, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і підробок, які виконуються за допомогою комп'ютерів. Тобто в Законі йдеться, як про регламентацію дій фахівців у сфері комп'ютерних технологій, так і про підвищення інформованості всього суспільства.

Відповідно до вимог Закону, всі оператори федеральних інформаційних систем, які мають конфіденційну інформацію, повинні сформувати плани забезпечення їх безпеки. Обов'язковою вимогою е періодичне навчання всього персоналу. В свою чергу NIST зобов'язаний проводити дослідження природи і масштабу можливих загроз, виробляти економічно виправдані заходи захисту. Результати досліджень NIST розраховані на застосування як у державних системах, так і в приватному секторі.

Закон зобов'язує NIST координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) тощо з метою уникнення дублювання і несумісності. Також Закон передбачає створення при Міністерстві торгівлі США комісії з інформаційної безпеки, яка повинна: приймати перспективні управлінські, технічні, адміністративні і фізичні заходи, які сприяють підвищенню ІБ; видавати рекомендації Національному інституту стандартів і технологій, доводити їх до відома всіх зацікавлених відомств.

Досить важливими є положення 6-го розділу Закону, які зобов'язують всі урядові відомства формувати плани ЗІБ, спрямовані на те, щоб компенсувати ризики і запобігати можливим збиткам від утрати, неправильного використання, несанкціонованого доступу чи модифікації інформації у федеральних системах. Копії планів направляються в NIST і АНБ.

Уряд США під час реалізації своєї політики в області захисту інформації виходить з того, що перехоплення іноземними державами конфіденційної державної і приватної інформації, а також великих обсягів відкритої інформації, переданих за допомогою урядових і комерційних мереж телекомунікацій, після їхньої обробки, зіставлення й об'єднання розрізнених даних призводить до розкриття державних секретів. Тому, починаючи із середини 1980-х років, захист ліній зв'язку й автоматизованих систем стає важливим завданням компетентних державних органів США.

Сфера комп'ютерних систем виступає важливою складовою ЗІБ СІЛА. З метою ефективної протидії комп'ютерній злочинності в 1984 р. було прийнято Закон США "Про підробку засобів доступу, комп'ютерне шахрайство та зловживання" (Counterfeit Access Device and Computer Fraud and Abuse Act) - основний нормативно-правовий акт, що встановлює кримінальну відповідальність за злочини у сфері комп'ютерної інформації. Згодом він неодноразово доповнювався (1986, 1988, 1989, 1990, 1994 і 1996 pp.), а нині включений як § 1030 у Титул 18 Зводу законів США.

Цей закон визнав злочином отримання несанкціонованого доступу (або перевищення його меж) до "комп'ютера федерального уряду" - будь-якого захищеного комп'ютера, який використовується урядовими або підпорядкованими йому фінансовими установами:

- комп'ютер, що перебуває у винятковому користуванні уряду або фінансової організації, чи комп'ютер, функціонування якого було порушено під час роботи в інтересах уряду або фінансової організації;

- комп'ютер, що є частиною системи чи мережі, елементи якої розташовані більш ніж в одному штаті США.

В чинній редакції закон як § 1030 у Титул 18 Зводу законів США установлює відповідальність за сім основних протиправних діянь, якими визнаються:

- комп'ютерне шпигунство, шо полягає в несанкціонованому доступі до інформації або перевищенні його меж, а також отриманні інформації, що стосується державної безпеки, міжнародних відносин і питань атомної енергетики (§1030 (а) (1));

- несанкціонований доступ до інформації з урядового відомства США з будь-якого захищеного комп'ютера, котра має відношення до внутрішньої або міжнародної торгівлі, або перевищення меж такого доступу, а також одержання інформації з фінансових записів банківської установи, емітента карт чи інформації про споживачів, що містяться у файлі управління обліку споживачів (§ 1030(a) (2));

- вплив на комп'ютер, що перебуває у виключному користуванні урядового відомства США, або порушення нормального функціонування комп'ютера, котрий повністю чи частково використовується урядом США (§ 1030(a)(3));

- шахрайство з використанням комп'ютера - доступ, здійснений із шахрайськими намірами, і використання комп'ютера з метою отримання будь-якої цінності за допомогою шахрайства, включаючи незаконне використання машинного часу вартістю більше п'яти тисяч доларів протягом року, тобто без оплати користування комп'ютерних мереж і серверів (§ 1030(a) (4));

- умисне або необережне пошкодження захищених комп'ютерів (§ 1030(a) (5));

- шахрайство шляхом торгівлі комп'ютерними паролями або аналогічною інформацією, що дозволяє одержати несанкціонований доступ, якщо така торгівля впливає на торговельні відносини між штатами та з іншими державами або на комп'ютер, що використовується урядом США (§ 1030(a)(6));

- погрози, вимагання, шантаж й інші протиправні діяння, вчиненні з використанням комп'ютерних технологій (§ 1030(a) (7)).

Відповідальність за комп'ютерні злочини в інформаційному просторі встановлена й іншими параграфами Зводу законів США. Серед них слід виділити §1029 Титулу 18, яким передбачена відповідальність за торгівлю викраденими або підробленими пристроями доступу, які можуть бути використані для отримання цінностей (грошей, товарів чи послуг). У свою чергу в §1361 Титулу 18 передбачено відповідальність за умисне пошкодження майна, устаткування, контактних пунктів, ліній або систем зв'язку.

Великого значення американський законодавець надає також недоторканності особистого життя громадян і захисту персональних даних. Так, зокрема, згідно з § 2511 Титулу 18 Зводу законів США караються перехоплення й розголошення повідомлень, переданих по телеграфу, усно або з використанням ЕОМ.

Окрім того, спеціально встановлена кримінальна відповідальність за порушення конфіденційності електронної пошти шляхом незаконного доступу до збережених повідомлень: у §2701 Титулу 18 Зводу законів США установлена відповідальність за умисне одержання або видозмінення повідомлень, котрі зберігаються в пам'яті комп'ютера або комп'ютерної системи, а також за створення перешкод для санкціонованого доступу до таких повідомлень.

Відповідальність за інші злочини з використанням комп'ютерної інформації або складових інформаційного комп'ютерного простору передбачає § 1343 Титулу 18 Зводу законів США. Його нормами, зокрема, передбачена можливість притягнення до кримінальної відповідальності за передання повністю або частково дротовими засобами зв'язку, по радіо або телебаченню повідомлення з метою використання для подальшого вчинення шахрайства. Приписи § 1343 підлягають застосуванню у випадках, коли термінали, використовувані для ведення шахрайських дій, обмінюються інформацією за допомогою каналів електрозв'язку.

В свою чергу Закон США "Про таємність електронного зв'язку" 1986 р. (Electronic Communications Privacy Act) у Розділі 2701 містить визначення нового виду злочину - "умисного проникнення до інформаційних систем", який полягає у навмисному несанкціонованому доступі до системи з використанням засобів, які надаються установами електронної комунікації або ж у навмисному порушенні системи перевірки права доступу таких засобів.

При цьому таке "умисне проникнення" означає, що злочинець своїми діями отримав, змінив інформацію, яка зберігається в електронному виді у даній системі, або зашкодив санкціонованому доступу до неї.

Окрім того, Законом США "Про комп'ютерне шахрайство та зловживання" (Computer Fraud and Abuse Act) 1986 p. визначаються злочинними дії, які направлені на навмисне отримання несанкціонованого доступу до комп'ютера федерального уряду США та порушення його роботи. Згідно з цим Законом, протиправними визнаються будь-які дії, пов'язані з розголошенням перехоплених паролів, отриманням або ознайомленням з будь-якою інформацією за допомогою комп'ютерів, які містять дані федерального уряду.

Кримінальна відповідальність настає, якщо зміна та знищення інформації спричинили збитки, сума яких перевищує 1 тис. дол. Цим законодавчим актом також поширюється юрисдикція федерального суду на злочини, які підпадають під сферу дії кримінального законодавства штатів у приватному секторі. Крім цього, Законом встановлено кримінальну відповідальність за модифікацію, знищення або приховування інформації, яка отримана при несанкціонованому вході у комп'ютерну систему.

Федеральний суд може застосовувати до злочинців штраф у розмірі до 250 тис. доларів США та ув'язнення на строк до п'яти років.

Закон США "Про комп'ютерну безпеку" (Computer Security Act) 1987 р. покликаний забезпечити посилення безпеки важливої інформації, яка зберігається у федеральних комп'ютерних системах. Такою системою визначається "комп'ютерна система, яка функціонує у федеральній установі, у контрагента федеральної установи або в іншій організації, яка обробляє інформацію, використовуючи комп'ютерну систему на користь федерального уряду для виконання федеральних функцій". Цей закон зобов'язав NIST розробити вимоги щодо безпеки усіх урядових комп'ютерних систем США, які обробляють важливі матеріали, а також затвердити програми навчання, стандарти та графіки роботи користувачів таких систем.

Закон визначає пріоритет національних інтересів при вирішенні питань безпеки інформації (у тому числі і приватної). Цей Закон декларує, що вимоги державних органів щодо забезпечення необхідного рівня захисту інформації можуть бути поширені на будь-яку "важливу інформацію". При цьому встановлено, що "важливою" є така інформація, "втрата якої, неправильне використання, несанкціонована зміна якої чи доступ до якої можуть призвести до небажаних впливів на національні інтереси".

Окрім того, Закон встановлює нову категорію інформації обмеженого доступу - "несекретна, але важлива з погляду національної безпеки". До цієї категорії віднесено практично всю несекретну інформацію урядових відомств, а також велику частину даних, які циркулюють чи обробляються в інформаційно-телекомунікаційних системах приватних фірм і корпорацій, що працюють за урядовими замовленнями.

У 1997 р. з'явився законопроект "Про удосконалення комп'ютерної безпеки" (Computer Security Enhancement Act), спрямований на посилення ролі Національного інституту стандартів і технологій (NIST) і спрощення операцій із засобами криптографічного захисту.

У законопроекті констатується, що приватний сектор готовий надати криптозасоби для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, а розробка і використання шифрувальних технологій повинні відбуватися на підставі ринкового попиту, а не розпоряджень уряду. Крім того, відзначалось, що поза межами США існують сумісні та загальнодоступні технології криптографічного захисту, і це варто враховувати при розробці експортних обмежень, щоб не знижувати конкурентоздатність американських виробників апаратного і програмного забезпечення. Для захисту федеральних інформаційних систем рекомендувалося більш широко застосовувати технологічні рішення, засновані на розробках приватного сектору. Крім того, пропонувалося оцінити можливості доступних закордонних розробок.

Важливим є Розділ 3, у якому від (NIST) вимагається на запит приватного сектора готувати стандарти, посібники, засоби і методи для інфраструктури відкритих ключів, які дозволяють сформувати недержавну інфраструктуру, сумісну з федеральними інформаційними системами.

У Розділі 4 особлива увага приділялася необхідності аналізу засобів і методів оцінки уразливих місць інших продуктів приватного сектора в сфері інформаційної безпеки.

В законопроекті віталась розробка правил безпеки, нейтральних щодо конкретних технічних рішень, використання у федеральних інформаційних системах комерційних продуктів, участь у реалізації шифрувальних технологій, що дозволяє сформувати інфраструктуру, яку можна розглядати як резервну для федеральних інформаційних систем. Передбачалося, що для засвідчувальних центрів мають бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.

Після трагічних подій 11 вересня 2001 року Президентом і Урядом США було здійснено низку конкретних кроків щодо захисту критичної інформаційної інфраструктури держави. Зокрема, наприкінці вересня 2001 року Президент США підписав Закон "Про посилення повноважень спецслужб", відповідно до якого несанкціоноване проникнення в державні комп'ютерні мережі з метою отримання вигоди чи нанесення шкоди, визначається однією з форм тероризму. Крім того, Закон значно спрощує процедуру моніторингу мережі Інтернет ФБР США.

Відповідно до цього Закону, Федеральний прокурор чи прокурори штатів отримують повноваження санкціонувати застосування (на період до двох діб) спеціальної системи збору інформації "DCS 1000", розробленою ФБР для перегляду змісту повідомлень електронної пошти і спостереження за Інтернетом.

Також згідно з цим Законом усуваються правові бар'єри, які обмежували доступ ФБР до матеріалів електронного перехоплення, що проводилися Агентством національної безпеки та іншими органами розвідувального співтовариства США. Відповідно до цього закону провайдери Інтернет послуг і телефонних компаній також зобов'язані надавати інформацію на вимогу ФБР про своїх клієнтів, в тому числі конфіденційного характеру.

У жовтні 2001 року Конгресом США був прийнятий Закон "Про патріотизм" (USA Patriotic Act), спрямований на протидію тероризму, який надав уряду та поліції широкі повноваження по нагляду за громадянами. Цей Закон включає серію заходів, які розширюють повноваження поліції та федеральних агентств.

Зокрема, цей Закон розширює повноваження ФБР з підслуховування та електронного слідкування, дає нове визначення поняття "тероризм" та посилює покарання за нього. Крім того, зазначеним законом окреслюється поняття "критична інфраструктура", яке визначається як "сукупність фізичних чи віртуальних систем і засобів, важливих для США в такій мірі, що їхній вихід з ладу чи знищення можуть призвести до згубних наслідків в галузі оборони, економіки, охорони здоров'я і безпеки нації".

Закон США "Про боротьбу з тероризмом" 2001 р. (Combating Terrorism Act) розширив можливості поліції та спецслужб по прослуховуванню приватних переговорів і моніторингу мережі Інтернет. Тепер для організації стеження за користувачами глобальної мережі ФБР не потрібно одержувати

дозвіл суду, за умови обгрунтування агентом запиту будь-який прокурор США може санкціонувати застосування системи стеження "Carnivore", яка знаходиться на озброєнні ФБР.

До прийняття цього Закону використання "Carnivore" жорстко регламентувалося й контролювалося судовими органами США. Тепер прокурор може дозволити спостереження за особою протягом 48 годин без санкції суду. Підгрунтям для застосування зазначеної вище системи може бути одна з двох обставин: існування "нагальної загрози" інтересам національної безпеки США або атака на функціональну дієздатність комп'ютера, який знаходиться під захистом.

Фактично ФБР отримало можливість проводити таємні операції в країні з дотриманням мінімальних вимог за правовими стандартами США. Для цього достатньо наявності у ФБР "вагомих підстав" вважати, що підозрювані є членами терористичної групи або агентами розвідувальної служби іноземної держави.

Окрім того, відповідно до Закону при Міністерстві оборони США створене нове Бюро оперативно-інформаційного реагування. На нього покладено завдання побудувати на основі останніх технологій своєрідну пошукову систему, яка з метою виявлення підозрілих осіб чи груп зможе мати доступ практично до всіх існуючих баз даних. Контрольованою стала і суто особиста інформація: електронна пошта, дані анкет, кредитні та телефонні рахунки осіб тощо.

Значним здобутком американського законодавця в сфері національної безпеки держави стало прийняття 2S листопада 2002 року Закону США "Про внутрішню безпеку" (Homelend Security Act). Відповідно до Закону урядові структури, які займалися забезпеченням комп'ютерної безпеки перейшли під контроль новоутвореного Міністерства внутрішньої безпеки (Department of the Homeland Security).

Також в інтересах захисту інформаційних ресурсів у ст. 225 Закону окреслені додаткові заходи, направлені на посилення відповідальності за злочини у сфері високих технологій, які в свою чергу нормативно оформлені у вигляді Закону США "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act). Крім того, відповідно до ст. 224 Закону "Про внутрішню безпеку" засновується так звана "мережева гвардія" (NET Guard) з числа місцевих добровольців, які володіють відповідними знаннями і необхідними навичками для ліквідації наслідків атак (вторгнень) терористів на інформаційні ресурси і мережі зв'язку.

Закон "Про підвищення кібернетичної безпеки" (Cyber Security Enhancement Act) було прийнято у листопаді 2002 року з метою захисту критичної інфраструктури США. Цей Закон передбачає посилення заходів спрямованих проти хакерів, у т.ч. покарання за злам комп'ютерних систем, включаючи довічне ув'язнення. Крім того, у відповідності з Законом Інтернет-провайдери зобов'язані надавати інформацію про клієнтів за першою вимогою поліції.

Також Закон розширює права поліцейських щодо перехоплення інформації: прослуховування телефонних переговорів та перлюстрацію електронних повідомлень вони відтепер можуть здійснюватися без дозволу суду. Проте, правоохоронці зможуть продивлятися лише заголовки електронної пошти, вивчати телефонні номери, IP-адреси та URL сайтів, що відвідуються.

У 2005 р. набрав сили закон "Про реформування американської розвідки та запобігання терористичним актам" 2004 р., який передбачав найбільшу за останні 50 років реорганізацію розвідувального співтовариства США. Керівником всіх 16 спецслужб, які в нього входять, та координатором їх діяльності став директор національної розвідки США.

Відповідно до положень закону, Національний центр по боротьбі з тероризмом, який раніше входив до структури ЦРУ, став міжвідомчим органом. Також на всі спецслужби США покладено обов'язок ділитися інформацією з іншими членами розвідувального співтовариства та з правоохоронними органами на місцях. При цьому були усунуті всі правові перепони між розвідкою та контррозвідкою, військовими та цивільними розвідувальними службами США, а також обмеження щодо стеження за громадянами власної країни та таємних операцій спецслужб за кордоном.

Поряд із наведеними законодавчими актами США, на нашу думку, слід також звернути увагу на нормативні акти Ради національної безпеки та Президента США, які регулюють питання ЗІБ США.

Найбільш важливі стратегічні питання, які визначають національну політику в сфері захисту інформації, як правило, вирішуються на рівні Ради національної безпеки США, рішення якої оформляються у вигляді відповідних директив Президента США. Серед таких директив слід виділити наступні:

- директива PD/NSC-24 "Політика в області захисту систем зв'язку" 1977 р., в якій уперше підкреслюється необхідність захисту важливої несекретної інформації в забезпеченні національної безпеки;

- директива SDD-145 "Національна політика США в області безпеки систем зв'язку автоматизованих інформаційних систем" 1984 р., яка стала юридичною основою для покладання на АНБ США функції захисту інформації і контролю за безпекою на каналах зв'язку та в обчислювальних і складних інформаційно-телекомунікаційній системах. Цією же директивою на АНБ США покладена відповідальність за сертифікацію технологій, систем і устаткування щодо захисту інформації в інформаційно-телекомунікаційних системах держави, а також за ліцензування діяльності в галузі захисту інформації.

Національна інструкція про забезпечення безпеки зв'язку США № 6002, прийнята в червні 1984 року, встановлює, що потреби в забезпеченні безпеки зв'язку державних підрядчиків визначаються компетентними державними органами. Ці ж органи забезпечують контроль за дотриманням вимог по безпеці зв'язку.

Інструкція дозволяє використовувати державним підрядчикам шифрувальну техніку, яка виготовлена на замовлення Агентства національної безпеки, або таку, що пройшла сертифікацію в цьому агентстві. При цьому підприємства, які виготовляють засоби шифрування не повинні знаходитися в іноземній власності чи під іноземним впливом. Крім того, ці підприємства повинні бути допущені до роботи із секретною інформацією відповідно до встановленого порядку. Вивезення будь-яких криптографічних пристроїв зі Сполучених Штатів можливий тільки з дозволу АНБ США. Одночасно директива Президента держави "Про управління шифруванням у суспільстві" (Public Encryption Management) однозначно встановлює, що криптографічні засоби, які вивозяться, не повинні служити перешкодою для органів електронної розвідки США в процесі здобування ними інформації.

Окрім наведених підзаконних нормативних актів США у сфері ЗІБ необхідно звернути увагу на Програму безпеки, яка передбачає економічно виправдані захисні заходи, синхронізовані з життєвим циклом інформаційних систем. Відповідно до п. 3534 ("Обов'язки федеральних відомств") підрозділу II ("Інформаційна безпека") розділу 35 ("Координація федеральної інформаційної політики") рубрики 44 ("Суспільні видання і документи"), така програма повинна включати:

- періодичну оцінку ризиків з урахуванням наявних та потенційних загроз цілісності, конфіденційності й доступності систем, а також даних, асоційованих із критично важливими операціями і ресурсами;

- правила і процедури, які дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;

- навчання персоналу з метою інформування про існуючі ризики і про обов'язки, виконання яких необхідно для їх (ризиків) нейтралізації;

- періодичну перевірку і (пере-) оцінку ефективності правил і процедур, їх дії при внесенні істотних змін у систему;

- процедури виявлення порушень ІБ і реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути великих втрат; організувати взаємодію з правоохоронними органами.

Враховуючи викладене вище, можна зробити висновок про те, що після подій 11 вересня 2001 року проблема ЗІБ набула пріоритетного значення в системі національної безпеки США. Зокрема Президентом та урядом країни було здійснено низку кроків по розробленню та запровадженню адекватних та дієвих механізмів та сутнісно-нових комплексних підходів (наприклад, Стратегія кібернетичного простору) за участі, як державного, так і приватного сектору щодо подолання існуючих загроз та викликів в інформаційній сфері.

При цьому, перш за все, необхідно виділити Указ Президента США "Захист критичної інфраструктури в інформаційну добу" за №13231, спеціально спрямований на вирішення проблем ЗІБ держави. Відповідно до цього указу був створений Комітет з питань захисту критичної інфраструктури при Президентові США. Основна функція комітету полягає в координації усіх федеральних програм в області ІБ незалежно від їхньої відомчої приналежності.

Разом з тим, принцип підвищеної секретності, який вже став основою боротьби з тероризмом, та отримане ФБР право на збирання всередині держави даних, які стосуються не лише безпосередньо розслідування, певним чином порушують законодавчо закріпленні основні свободи людини і громадянина.

Однак, найголовнішим у формуванні нової парадигми безпеки стало прийняття трьох нових директивних документів направлених на захист інтересів внутрішньої безпеки: Національної стратегії боротьби з тероризмом (The National Strategy for Combating Terrorism), Національної стратегії фізичного захисту критичної інфраструктури (The National Strategy for The Physical Protection of Critical Infrastructures and Key Assets) та Національної стратегії безпеки кібернетичного простору (The National Strategy to Secure Cyberspace).

Зазначені стратегії вперше офіційно визнали уразливість та повну залежність інфраструктури США від стану захищеності інформаційних систем і мереж. Вони націлюють уряд і суспільство на створення Єдиної національної системи реагування на кібернетичні напади (National Cyberspace Security Response System), як сукупності територіальних, відомчих і приватних центрів аналізу і розподілу інформації (ISAC) у різних галузях народного господарства й економіки держави.

Президент США Б. Обама назвав проблему кібербезпеки однією з основних у XXI ст. поряд з тероризмом та розповсюдженням ядерної зброї. Нова Адміністрація Президента США із самого початку своєї роботи визначила питання забезпечення кібербезпеки одним із пріоритетних у державній політиці, у зв'язку з чим було нею зайнято активну позицію щодо розвитку наступальних кібертехнологій. Усю цифрову інфраструктуру (мережі та комп'ютери) визнано стратегічним національним надбанням.

У лютому 2003 року в США розроблено та опубліковано "Національну стратегію захисту кіберпростору", в якій визначено послідовний та комплексний підхід до захисту життєво важливих комунікаційних технологій американської нації. Стратегія розроблена після кількох років консультацій зі значною кількістю фахівців, у т.ч. з працівниками органів управління та організацій приватного сектору.

"Національна стратегія захисту кіберпростору США" 2003 р., спрямована на захист складних і взаємопов'язаних інформаційних систем, які мають життєво важливе значення для сучасного інформаційного суспільства. Загальною метою цього документу є виокремити організуючі завдання та пріоритетність зусиль по їх досягненню; визначити напрямки і кроки, які мають здійснювати, як урядові структури, так і підприємства та приватні користувачі по досягненню безпеки кібернетичного простору США.

Основним завданням у сфері кібернетичної безпеки стратегія визначає "запобігання кібернетичним нападам на критичну інфраструктуру, зниження вразливості нації до таких нападів і мінімізація збиток і час відновлення".

При цьому під кібернетичним тероризмом у США сьогодні розуміють "навмисне руйнування, переривання чи перекручування даних у цифровій формі чи потоків інформації, що має широкомасштабні негативні політичні, релігійні чи ідеологічні наслідки".

Стратегія визначає п'ять основних напрямів діяльності з питань захисту:

1) постійний моніторинг й безперервна оцінка загроз та вразливих місць державних інформаційних систем;

2) здійснення національних заходів із зменшення загроз та уразливості кіберпростору;

3) здійснення заходів щодо захисту інформаційних систем органів влади;

4) забезпечення якісної освіти та навчання з питань захисту кіберпростору;

5) співробітництво з питань національної безпеки та безпеки міжнародного кіберпростору.

Перший напрям стратегії передбачає створення ефективної системи швидкої ідентифікації, обміну інформацією та заходи щодо зменшення втрат, викликаних протиправними діями. Серед основних видів діяльності щодо реагування на загрози для безпеки кіберпростору США слід відзначити: створення національної системи реагування на загрози для безпеки кіберпростору; забезпечення проведення тактичного та стратегічного аналізу кібератак та оцінку вразливості; координацію управління ризиками для кіберпростору.

Другий напрям передбачає оперативне виявлення вразливих місць, які утворилися внаслідок технічної недосконалості та неправильної реалізації технологічних продуктів, а також нагляд за їх використанням. Цей напрям включає здійснення наступних заходів: підвищення здатності правоохоронних органів запобігати атакам у кіберпросторі та переслідувати у судовому порядку осіб, які їх вчиняють; виявлення слабких місць інформаційних систем і телекомунікацій у масштабах країни з метою належної оцінки потенційних загроз та можливих наслідків їх вразливості; захист національного сегменту мережі Інтернет шляхом удосконалення протоколів обміну інформацією та її маршрутизації; впровадження в експлуатацію надійних електронних систем збирання даних та управління ними; скорочення кількості вразливих місць у програмному забезпеченні національних інформаційних систем та їх ліквідацію; вивчення інфраструктурної взаємозалежності та зміцнення фізичної безпеки інформаційних систем и телекомунікацій; визначення пріоритетних завдань щодо досліджень та розробок у сфері захисту кіберпростору; здійснення оцінки та забезпечення безпеки в нових інформаційних системах.

Третій напрям цієї стратегії передбачає здійснення заходів щодо захисту інформаційних систем органів влади, зокрема облік зареєстрованих користувачів державних інформаційних систем; захист державних безпровідних локальних мереж; підвищення безпеки при розподілі державних підрядів і постачання.

Четвертий напрям цієї стратегії спрямований на вирішення питання забезпечення існуючих потреб держави у високоосвічених кадрах, здатних працювати над скороченням вразливих місць в національному кіберпросторі. Окрім навчання кадрів також передбачається атестація службовців, які вже користуються комп'ютерами, займаються системним адмініструванням, розробляють та впроваджують інформаційні технології, а також керують інформаційними службами й установами США.

П'ятий напрям передбачає здійснення низки заходів, спрямованих на забезпечення розвитку міжвідомчого та міжнародного співробітництва з питань національної безпеки та безпеки міжнародного кіберпростору. Для цього згідно стратегії "необхідно підсилити заходи щодо забезпечення цілісності, надійності і готовності критичної фізичної та інформаційної інфраструктур як усередині, так і поза межами держави".

У 2009 р. конгресмени США О. Сноу та Д. Рокфеллер підготували та ініціювали законопроект "Акту про кібербезпеку" ("The Cybersecurity Act of 2009")^[1], в якому закріплено повноваження Президента США відключати доступ до мережі Інтернет на всій території США у надзвичайних випадках загроз національній безпеці. У липні цього року американським політиком О. Джілібреном запропоновано проект "Акту глобальної відповіді на кібервиклики" ("Fostering a Global Response to Cyber Attacks Act"), в якому містяться положення щодо можливості Уряду США взаємодіяти з будь-якою державою світу в питаннях організації протидії злочинам у кіберпросторі.

Окрім того, у 2009 р. у США оприлюднено "Огляд кібербезпекової політики", в якому визначено, що Білий Дім має виконувати провідну роль у питаннях координації, розроблення та впровадження новітніх стандартів кібербезпеки в державі. Для забезпечення реалізації цього завдання необхідно вжити низку організаційних заходів, що мають сформувати нову структуру системи національної кібербезпеки.

З цією метою при Білому Домі було створено відділ з кібербезпеки, керівник якого підзвітний РНБ та Економічній раді США. Головними завданнями відділу є: координація роботи урядових відомств, до повноважень яких належить розслідування кіберзлочинів та хакерських атак, розробка нових захисних технологій.

Особливу увагу було приділено проблемі організаційно-правового забезпечення реалізації кібербезпекової політики. До посадових обов'язків Федерального Директора з інформаційних технологій належить питання інформаційної безпеки та координації всіх оргструктур, задіяних у системі кібербезпеки держави. До обов'язків помічника Президента США з питань внутрішньої безпеки та контртероризму належать питання кібербезпеки та інформування суспільства про результативність щорічної доповіді "Місяць національної поінформованості з кібербезпеки" (National Cybersecurity Awareness Month)^[2]. Також в Адміністрації Президента США було передбачено введення двох нових посад з питань реалізації державної стратегії та забезпечення безпеки федеральних і військових комп'ютерних мереж.