Законодательный уровень информационной безопасности
Обзор зарубежного законодательства в области информационной безопасности
Конечно, излишняя амбициозность заголовка очевидна. Разумеется, мы лишь пунктиром очертим некоторые законы нескольких стран (в первую очередь - США), поскольку только в США таких законодательных актов около 500.
Долгое время ключевую роль в области защиты информации в США играл американский "Закон об информационной безопасности" (Computer Security Act of 1987). Но в 2002 году он был заменен Федеральным законом об управлении информационной безопасностью (Federal Information Security Management Act of 2002) или как его кратко называют – FISMA. В 2014 году FISMA был обновлен президентом Бараком Обамой. Закон доступен на сайте Белого дома - https://www.whitehouse.gov/
FISMA был разработан "в ответ на растущее количество кибератак на федеральное правительство" (в соответствии с Википедией). Закон признает важность информационной безопасности для экономических и национальных интересов США и требует от каждого федерального агентства разработать и внедрить программу по обеспечению безопасности информации и информационных систем, которые поддерживают операции и активы агентства. Для таких агентств, как NIST (Национальный институт стандартов) и OMB (Управление по вопросам управления и бюджета), назначаются конкретные обязанности. Так, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и приемов для обеспечения адекватной информационной безопасности всех агентств, за исключением системы национальной безопасности США.
В соответствии с FISMA термин информационная безопасность означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения в целях обеспечения целостности, конфиденциальности и доступности.
Организации должны соответствовать минимальным требованиям безопасности путем выбора соответствующих мер контроля безопасности и требований из NIST 800-53 - "Контроли безопасности и приватности для федеральных информационных систем и организаций". Суть документа заключается в описании контролей безопасности, а также инструкциях о том, как ими грамотно пользоваться. Стоит заметить, что документ очень объёмный и описание контролей занимает почти 250 страниц, а общее их количество насчитывает несколько сотен страниц. Все контроли в стандарте разбиты на семьи, отвечающие различным областям обеспечения ИБ.
В законодательстве ФРГ выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.
Государственные учреждения, хранящие и обрабатывающие персональные данные, несут ответственность за нарушение тайны частной жизни "субъекта данных", как говорится в Законе.
Из законодательства Великобритании упомянем семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. В последующих лекциях мы еще вернемся к рассмотрению этих стандартов; здесь же отметим, что они действительно работают, несмотря на "добровольность" (или благодаря ей?).
В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", известный в компьютерном подполье под псевдонимом "El Griton". Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.