\section{Защита информации по международному праву} \newrefsection \subsection{Международные акты в сфере защиты информации} Изучение международных нормативных актов в сфере защиты информации представляют интерес с двух сторон. С одной стороны исторически они возникли раньше российского права в этой области и отражают фундаментальный иногда специфически обобщённый подход к этому вопросу. С другой стороны ряд норм международного права в этой области был ратифицирован и внесен в российское законодательство и здесь можно видеть корни изучаемых далее российских нормативных актов. Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». 1950 г. Европейская Конвенция о Защите Прав Человека и Основных Свобод установила, что каждый человек имеет право на: \begin{enumerate} \item уважение его личной и семейной жизни, неприкосновенности его жилища и тайны корреспонденции; \item свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ; \item защиту его моральных и материальных интересов, являющихся результатом научных, литературных или художественных трудов, автором которых он является. \end{enumerate} Эти три положения в дальнейшем предопределили направления развития так называемого сейчас информационного права, включающего в себя право на защиту конфиденциальной информации от посторонних лиц, право на распространение и получение жизненно важной информации и так называемое авторские и смежные права. В дальнейшем мы не будем рассматривать вопросы авторского и смежного права, вопросы права на распространение и свободный доступ к информации нами будет рассматриваться только в аспекте доступности информации для зарегистрированного пользователя. В 1980 году принята Конвенция Европейского Союза "О защите лиц при автоматизированной обработке данных персонального характера" Согласно этому документу, персональные данные, подвергающиеся автоматизированной обработке: \begin{enumerate} \item собираются и обрабатываются на справедливой и законной основе; \item хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями; \item являются адекватными, относящимися к делу и не чрезмерными для целей их хранения; \item являются точными и, когда это необходимо, обновляются; \item сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных. \end{enumerate} В 1981 году государства-участники Европейского Союза подписали в Страсбурге Конвенцию «О защите физических лиц в отношении автоматической обработки персональных данных». В Конвенции декларированы гарантии частным лицам соблюдения права на личную жизнь в аспекте автоматизированной обработки данных личного характера, в том числе при передаче таких данных через государственные границы, независимо от способа передачи. В 1985 году Комиссия ООН по праву международной торговли (ЮНСИТРАЛ) принимает Рекомендации ЮНСИТРАЛ о правовой ценности компьютерных записей. Рекомендации ставили перед государствами-членами ООН цель изменения национального законодательства таким образом, чтобы не только были устранены препятствия для допустимости компьютерных записей в качестве доказательств, но и были предоставлены суду надлежащие средства для оценки достоверности данных, содержащихся в таких записях. В этом же 1987 году Международная торговая палата принимает Унифицированные правила поведения при обмене торговыми данными путем телетрансмиссии (UN-CID). Правила формулируют рекомендации по процедурам, связанным с безопасной передачей торговой информации: собственно передачей информации, подтверждением передачи, подтверждением содержания сообщений, их защиты, регистрацией переданных данных и их хранением. В 1995 году Европейская экономическая комиссия ООН принимает Типовое соглашение обмена при международном коммерческом использовании электронного обмена данными (Приложение к Рекомендации № 26 «Коммерческое использование соглашений обмена при электронном обмене данными», принятой Рабочей группой по содействию международным торговым процедурам Европейской экономической комиссии ООН от 23 июня 1995 г.) Документ регулирует любую электронную передачу сообщений между сторонами, особенности обработки сообщений, их действительность и доказательственную силу, требования к конфиденциальности. В 1995 году Европейским парламентом и Советом была принята Директива 95/46/ЕС о защите физических лиц в отношении обработки персональных данных и свободном движении таких данных. Целью директивы объявлена защита тайны частной жизни физических лиц в отношении обработки персональных данных. Директива дает определения персональных данных и иные определения; устанавливает общие правила правомерности обработки персональных данных; оговаривает средства их правовой защиты, ответственность и санкции; условия передачи персональных данных третьим странам; кодексы поведения; раскрывает функции надзорного органа и рабочей группы по защите физических лиц в отношении обработки персональных данных. Начиная со второй половины 90-х годов, были приняты наиболее известные и значимые документы, предопределившие в последующем особенности правовой защиты субъектов, работающих в информационной сфере. В 1997 году Международная торговая палата (МТП) декларирует Общие обычаи для удостоверенной цифровым способом международной коммерции. Документ оговаривает содержательную часть процедуры удостоверения сообщений при помощи цифровых знаков или символов, связанных с сообщением; вводит понятие сертификата как удостоверенного сообщения; сертифицирующего лица; цифровой подписи; владельце закрытого ключа; оговаривает технологию удостоверения сообщения и сертификации. 11 августа 1998 года Российской Федерацией была ратифицирована Конвенция Содружества Независимых Государств о правах и основных свободах человека. В основном она подтверждает принципы, известные из Европейская Конвенция о Защите Прав Человека и Основных Свобод 1950 г. В 1999 году Европейский парламент и Совет принимают Директиву 1999/93/ЕС о правовых основах Сообщества для электронных подписей. Вводит современное понятие цифровой подписи, ее разновидности, механизм использования и сохранения конфиденциальности идентифицирующих данных, систему удостоверения подписанных ею документов, основания для ее признания участниками электронного документооборота. В 2000 году страны «Большой восьмерки» принимают долгосрочный документ принципиального характера – Окинавскую Хартию Глобального информационного общества. В Хартии рассмотрены такие глобальные проблемы информационного общества как его экономическая и социальная трансформация под влиянием информационных технологий; необходимость обеспечения предоставления всем гражданам равной возможности пользоваться преимуществами глобального информационного общества; необходимость сокращения разрыва в цифровых технологиях; реализация полных экономических, социальных и культурных преимуществ глобального информационного общества; эффективное партнерство между государственным и частным сектором в IT-технологиях; согласованные действия по созданию безопасного и свободного от преступности киберпространства. В 2000 году государства – участники Содружества Независимых Государств принимают Модельный закон «Об электронной цифровой подписи». В 2001 году Комиссия ООН по праву международной торговли (ЮНСИТРАЛ) принимает Типовой закон ЮНСИТРАЛ «Об электронных подписях». В законе учтена складывающаяся практика электронной торговли и тот нейтральный, с точки зрения носителей информации, подход, который взят за основу в Типовом законе ЮНСИТРАЛ об электронной торговле. Единообразные правила не должны препятствовать использованию других, помимо криптографических, методов удостоверения подлинности подписи и по возможности обязаны учитывать различия в уровнях обеспечения надежности таких методов, а также признавать различные юридические последствия и объем ответственности в зависимости от различных видов услуг, оказываемых в контексте подписей в цифровой форме. В 2001 году были приняты базовые нормативные документы, регламентирующие основные аспекты международного сотрудничества в сфере противодействия компьютерным преступлениям: Конвенция Совета Европы по киберпреступности и Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации, которые установили нормы и порядок сотрудничества в случае расследования трансграничных преступлений. И, наконец, в 2002 году Европейский парламент и Совет принял Директиву 2002/58/ЕС, касающуюся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций. Ею устанавливается, что конфиденциальность относительно обработки персональных данных и защита частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способов вмешательства или наблюдения за сообщениями и относящихся к ним данным по трафику, осуществляемых лицами или другими пользователями без согласия самого пользователя. \subsection{Первые иностранные оценочные стандарты по защите информации} Исторически первым оценочным стандартом был стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем". Данный труд, называемый по цвету обложки "Оранжевой книгой", был опубликован в августе 1983 года. В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа". Введены понятия: Политика безопасности (набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию), гарантированность (мера доверия, которая может быть оказана архитектуре и реализации системы, определяемая на основе тестирования), механизм подотчетности (протоколирование), монитор обращений (средство контроля допустимости выполнения субъектами определенных операций над объектами). Здесь впервые был использован подход описания требований безопасности и классификация систем согласно степени жесткости этих требований. В "Оранжевой книге" предложены три категории требований безопасности: политика безопасности, аудит и корректность. Требования политики безопасности: \begin{enumerate} \setcounter{enumi}{4} \item Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. \item Доступ может быть дискреционный (произвольный - владелец объекта может по своему усмотрению предоставлять или отбирать другим субъектам права на доступ к объекту) и мандатный (строго согласно меткам объекта и субъекта) \end{enumerate} Требования подотчетности: \begin{enumerate} \setcounter{enumi}{3} \item Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы, связанные с указанием на права доступа. \item Регистрация и учет. Все события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. \end{enumerate} Требования гарантии: \begin{enumerate} \setcounter{enumi}{5} \item Контроль корректности функционирования средств защиты. Все средства защиты находятся под контролем средств, проверяющих корректность их функционирования. Средства контроля должны быть полностью независимы от средств защиты. \item Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства, и эта за­щита должна быть постоянной и непрерывной. \end{enumerate} В "Оранжевой книге" предложены 7 классов защищенности компьютерной системы. Каждый класс описан по группам требований плюс требования к наличию определённого объема и детализации документации. Группа D. Минимальная защита. Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли. Группа С. Дискреционная защита Класс С1. Системы на основе дискреционного разграничения доступа. Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа (обеспечивающего тонкую индивидуальную настройку). Группа В. Мандатное управление доступом. Класс В1. Тоже самое, что класс С2, но с использованием мониторинга меток и требованием изолированной программной среды. Класс В2. Структурированная защита. Дифференциация политики безопасности для критичных и некритичных областей. Класс ВЗ. Домены безопасности. Введение централизованного управления и мониторинга для системы компьютеров и поддержка восстановления. Группа А. Верифицированная защита. Класс А1. Формальная верификация. Требования дополнительных проверок на корректность работы информационной системы и системы защиты, для гарантии соответствия спецификациям верхнего уровня безопансости. В 1987 году Национальный центр компьютерной безопасности США выпустил в свет Интерпретацию "Оранжевой книги" для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций. Интерпретация отличается от самой «Оранжевой книги» учетом динамичности сетевых конфигураций. В интерпретациях предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Среди защитных механизмов в сетевых конфигурациях на первое место выдвигается криптография, помогающая поддерживать как конфиденциальность, так и целостность. Следствием использования криптографических методов является необходимость реализации механизмов управления ключами. В интерпретациях «Оранжевой книги» впервые систематически рассматривается вопрос обеспечения доступности информации. Для обеспечения непрерывности функционирования могут применяться следующие защитные меры: \begin{itemize} \item внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.); \item наличие средств реконфигурирования для изоляции и/или замены узлов либо коммуникационных каналов, отказавших или подвергшихся атаке на доступность; \item рассредоточенность сетевого управления, отсутствие единой точки отказа; \item наличие средств нейтрализации отказов (обнаружение отказавших компонентов, оценка последствий, восстановление после отказов); \item выделение подсетей и изоляция групп пользователей друг от друга. \end{itemize} Архитектура безопасности для взаимодействия открытых систем для приложений МККТТ. Рекомендации X.800 - это оценочный стандарт для распределённых систем. Появился 1991 году. Вводит понятие неотказуемости от выполненных действий, автоматически регистрируемых в журналах ИС. Вводятся функции безопасности: \begin{itemize} \item аутентификация партнёров по общению и источника данных, \item управление доступом, \item конфиденциальность данных (общения, отдельных полей данных и трафика), \item целостность данных, \item неотказуемость (с подтверждением подлинности источника данных и доставки). \end{itemize} Указывается на каких уровнях модели OSI могут эти функции реализовываться. Вводятся: \begin{itemize} \item механизмы безопасности ( шифрование, электронная подпись (выработка и проверка)) \item механизмы управления доступом (включающие следующие источники информации: базы данных со списками управления доступом, пароли, токены, билеты удостоверения, метки безопасности, время, маршрут и длительность запрашиваемого доступа), \item механизмы контроля целостности данных (отдельного сообщения - с использованием контрольных сумм и потока данных - с использованием временных штампов и связанного шифрования ) \item механизмы аутентификации (односторонняя и двусторонняя) \item механизмы дополнения трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений — частоту отправки, размер и т.п.), \item управление маршрутизацией (выделение доверенных путей), \item механизмы нотаризации (служит для заверения целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, чтобы ее подтверждению можно было доверять. Обычно нотаризация опирается на механизм электронной подписи.) \end{itemize} \printbibliography