диссертация (1169572), страница 21
Текст из файла (страница 21)
Учитывая большое число законов,затрагивающихразличныеаспектыобеспеченияинформационнойбезопасности, для рассмотрения в данной части исследования были отобранылишь основополагающие федеральные законодательные акты, которыеопределяют направление развития законодательной системы и в целомявляются важной составляющей стратегии информационной безопасностиСША.Еще в период администрации Рональда Рейгана были заложены основыамериканскойзаконодательнойбазывобластиинформационнойбезопасности. В качестве основных направлений законодательных инициативможно выделить борьбу с неправомерным использованием компьютеров,защитуфедеральныхсетейисистем,изащитуличныхданныхпользователей, которые получили свое развитие в законодательных актахпоследующих администраций.308Schneier, Bruce.
Has U.S. started an Internet war? [Электронный ресурс] / CNN. June 18, 2013. – URL:http://edition.cnn.com/2013/06/18/opinion/schneier-cyberwar-policy/ (дата обращения: 20.04.14).931. Борьба с неправомерным использованием компьютеров. Закон «Окомпьютерном мошенничестве» 1984 года309 – первый и на сегодняшнийдень по-прежнему основной закон США, действие которого направлено наборьбу с неправомерным использованием компьютеров. Закон регулируетбольшое число правонарушений, связанных с попытками незаконнополучить доступ к информации, имеющей отношение к национальнойбезопасности; умышленным неавторизированным входом в компьютерныесистемы; несанкционированным доступом к информации, содержащейфинансовыесведения;правительства;кражейвмешательствомвинформациизащищенныхскомпьютерныесистемыкомпьютеров;причинением умышленного или неумышленного повреждения или ущербапосредством противозаконных действий; мошенническими действия спаролями;электроннымшпионажем.Максимальноенаказание,предусмотренное законом, – десять лет лишения свободы, за повторноенарушение – до двадцати лет лишения свободы310.В настоящее время рассматриваются варианты усовершенствованияданного закона в отношении криминализации дополнительных видовинтернет-активности, включая иностранный промышленный шпионаж идействия, направленные против критической инфраструктуры.
Обсуждаетсяповышение мер наказания за совершение киберпреступлений. По мнениюпрезидента Обамы и ряда законодателей, такой жесткий подход призвансдержать рост киберпреступности, включая кибершпионаж, со стороныиностранных граждан311.2. Защита федеральных сетей и систем. Закон «О компьютернойбезопасности» 1987 года стал первой законодательной инициативой,309Computer Fraud and Abuse Act of 1984. Public Law 98-473, 98 Stat. 2190. 18 U.S.C. 1030 [Электронныйресурс].
– URL: http://www.gpo.gov/fdsys/granule/USCODE-2010-title18/USCODE-2010-title18-partI-chap47sec1030/content-detail.html (дата обращения: 27.04.14). В целях противодействия угрозам кибербезопасностив США принят целый ряд федеральных законов по борьбе с компьютерными преступлениями, которыезакреплены в Титуле 18 Свода законов США. 18 U.S.C. 1028, 1029, 1030, 1037, 1343, 1362, 2511, 2701.310Computer Fraud and Abuse Act of 1984. 18 U.S.C. Section 1030.311Jaycox, Mark. Increasing CFAA Penalties Won't Deter Foreign “Cybersecurity” Threats [Электронный ресурс]/ Electronic Frontier Foundation. April 11, 2013.
– URL: https://www.eff.org/deeplinks/2013/04/increasing-cfaapenalties-wont-deter-foreign-cybersecurity-threats (дата обращения: 27.04.14).94направленнойнанеприкосновенностиповышениебезопасностииобеспечениеинформации,размещеннойвфедеральныхкомпьютерных системах. Данный закон предписывал: разработать стандартыи нормы для федеральных компьютерных систем; разработать планыбезопасности для всех операторов федеральных компьютерных систем,содержащихчувствительнуюинформацию;проводитьобязательныерегулярные обучающие программы для персонала, имеющего отношение куправлению или использованию федеральных компьютерных систем312.В развитие данного закона в 2002 году был принят закон «Обобеспечении безопасности федеральных информационных систем»,которымбылиустановленырамкибезопасностидляфедеральныхинформационных систем, а также определены ответственные исполнители всистеме государственных институтов. Согласно закону, Национальныйинститут стандартов и технологий отвечает за выработку стандартовбезопасности; Служба управления и бюджета Белого Дома – орган,ответственный за проведение обзора политики федеральных институтов вобласти информационной безопасности.
При этом основную ответственностьза функциональные аспекты обеспечения кибербезопасности федеральныхинформационных систем были возложены на МВБ. Также был созданФедеральный центр происшествий, в задачи которого входит сборинформации об инцидентах и нарушениях в информационных системахфедеральныхорганов,дляпроведенияанализаипринятиямерпротиводействия, а также разработки планов по управлению рисками313.Вцеломвзаконебылапредпринятапопыткасоздатьскоординированные механизмы обеспечения информационной безопасностифедеральных министерств и ведомств, что является одним из приоритетныхнаправлений312национальнойстратегиикибербезопасности.ОднакоThe Computer Security Act of 1987.
Public Law 100-235. 101 Stat. 1724. Section 2.b [Электронный ресурс]. –URL: https://www.govtrack.us/congress/bills/100/hr145 (дата обращения: 27.04.14).313Federal Information Security Management Act of 2002. Title III of the E-Government Act of 2002, Public Law107-347, 44 U.S.C. 3541. [Электронный ресурс]. – URL: http://csrc.nist.gov/drivers/documents/FISMA-final.pdf(дата обращения: 27.04.14).95эффективность мер по противодействию киберугрозам пока остается нанизком уровне. Число уведомлений о киберинцидентах со стороныфедеральных органов власти выросло за последние пять лет в 650 раз314.3.Защиталичныхданныхпользователей.Закон«Онеприкосновенности электронных коммуникаций» 1986 года направлен назащиту персональной электронной информации и запрещает: прослушиваниепроводных, телефонных или электронных средств связи; доступ к контенту,хранящемусявэлектронныхкоммуникациях,иданнымокоммуникационных трансакций; использование средств перехвата, слежения,а также регистраторов телефонных звонков.При этом в законе содержится положение, которое вызывает широкийпротест со стороны правовых организаций и пользователей – так называемое«правило 180-ти дней», по которому судебные органы без дополнительныхуведомлений могут получить доступ к личной почте пользователейшестимесячной давности, а также к просто прочитанным письмам,хранящимся у провайдеров (третьей стороны)315.
В этой связи нарассмотрение Конгресса в 2013 году была внесена обновленная версиязакона, в которой отменяется «правило 180-ти дней» и предлагается болеесложная система доступа к личным данным пользователей со стороныправительственных структур, в частности к личной почте вне зависимости отстрока ее давности, только на основании судебного решения, а такжевключены положения о более строгих требованиях к уведомлениюпользователей 316 . Однако на сегодняшний день данная версия закона неполучила хода в Сенате США.Стоит отметить, что вопросам защиты личных данных граждануделяется существенное внимание в США.
В период администрации314Information Security: Weaknesses Continue Amid New Federal Efforts to Implement Requirements[Электронный ресурс] / United States Government Accountability Office. Report to Congressional Committees.October 2011. – P.4. – URL: http://www.gao.gov/new.items/d12137.pdf (дата обращения: 27.04.14).315Electronic Communications Privacy Act of 1986. Public Law 99-508, 100 Stat.1848 [Электронный ресурс]. –URL: http://www.justice.gov/jmd/ls/legislative_histories/pl99-508/pl99-508.html (дата обращения: 27.04.14).316Electronic Communications Privacy Act Amendments Act of 2013. S.
607 [Электронный ресурс]. – URL:https://www.govtrack.us/congress/bills/113/s607 (дата обращения: 27.04.14).96Б. Клинтона развитие законодательства в данной сфере стало одним изприоритетных направлений. Был принят ряд законов, предусматривающихуголовные наказания за несанкционированное использование личных данныхпользователей:- закон «О медицинском страховании» 1996 года регламентируетиспользование медицинскими институтами и страховыми компаниямизащищенной информации о пациентах, хранящейся как в бумажном, так иэлектронном виде, возможные случаи ее раскрытия, а также процедурыобеспечения безопасности данных.
За разглашение личных данных или ихнесанкционированное использование законом предусмотрено наказание допяти лет лишения свободы317.- закон «О краже личных данных» 1998 года, которым впервыефедеральным уголовным правом США кража личных данных была отнесенак преступлениям. Закон предусматривает наказания за совершение илипопытку совершения кражи личных данных (максимальный срок – 15 летлишения свободы и максимальный денежный штраф в размере 250 тысячдолларов США) и конфискацию собственности, которая была использованадляосуществленияустройства,мошенническихпрограммноедействий,обеспечениеивключаясредстваэлектронныетехническогообеспечения318.-закон«Грэмма-Лича-Блилей»1999годарегламентируетиспользование и защиту личной информации клиентов финансовымиинститутами.Закон,вчастности,направленнапредотвращениемошеннических действий, направленных на получение личных данныхклиентов посредством телефонных коммуникаций, почтовых сообщений,электронной почты и фишинга.