Файл: Система защиты информации в зарубежных странах (Компоненты системы защиты информации).pdf

2.1. Система защиты информации в Германии

Германия – одна из самых продвинутых в области информационной безопасности стран Западной Европы.

Главные органы обеспечения безопасности Германии:

Федеральная разведывательная служба (БНД) Германии (нем. Bundesnachrichtendienst, BND) — служба внешней разведки Германии, находящаяся под контролем Ведомства федерального канцлера Германии. Штаб-квартира находится в Пуллахе около Мюнхена. В 2010 году закончено строительство нового комплекса зданий для данного ведомства в берлинском районе Митте, планируется переезд БНД в Берлин к 2014 году). БНД имеет около 300 официальных филиалов по всему миру. Штат ведомства насчитывает около семи тысяч профессиональных сотрудников, из них 2.000 занято сбором разведданных за рубежом. Годовой бюджет (2009) составил 460 миллионов евро.

Служба военной контрразведки (нем. Amt für den militärischen Abschirmdienst, MAD, в русскоязычной литературе используется также аббревиатура МАД), до 1984 года — Amt für Sicherheit der Bundeswehr (ASBw) — одна из трёх федеральных спецслужб Германии, подразделение бундесвера, отвечающее за военную контрразведку.

Штаб-квартира MAD находится в Кёльне. MAD имеет 12 территориальных подразделений по всей территории Германии и 40 мобильных подразделений. Штат организации насчитывает около 1300 военных и гражданских сотрудников, годовой бюджет составил 73 млн евро в 2009 году (70 млн в 2008 году).

Федеральная служба защиты конституции Германии (нем. Bundesamt für Verfassungsschutz) — спецслужба внутреннего назначения в Германии, подчиняющаяся министерству внутренних дел. Учреждена в 1950 году. Контролируется Парламентским Контрольным Комитетом (Parlamentarisches Kontrollgremium). В 2005 году служба имела 2448 сотрудников. Бюджет в 2005 г. составлял 137 миллионов евро. Осуществляет в ФРГконтрразведывательную деятельность.

Основная задача — наблюдение за организациями, угрожающими, с точки зрения властей, «свободному и демократическому основному правопорядку» Германии. Спецслужба публикует ежегодные годовые отчёты. В зоне внимания службы находятся ультраправые, в том числе неонацистские партии, ультралевые, исламистские и другие экстремистские организации иностранных граждан, разведки иностранных государств и саентология; к компетенции службы относятся также защита от саботажа и предотвращение доступа к конфиденциальной информации.

Рисунок 4.Структура федерального бюро защиты конституции

Первый в Германии закон о защите персональных данных был принят в земле Гессен в 1970 году. До этого подобных законов нигде в мире не было.

За ним последовало принятие в 1977 году Федерального закона о защите персональных данных, который в 1990 году был пересмотрен. Главная цель этого закона – "защищать индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными". Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами (в отсутствие механизмов государственного регулирования) и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях.

В настоящее время правительство разрабатывает поправки к закону с тем, чтобы привести его в соответствие с Директивой ЕС.

Правовые основы обеспечения информационной безопасности были установлены в Европе, в том числе и в Германии, в середине 1980-х годов. С тех пор информационная безопасность стала одной из наиболее сложных областей права. Причинами данного развития являются многочисленные директивы Евросоюза, а также национальное законодательство.

Главным принципом информационной безопасности в Германии является тот факт, что любое использование информации запрещено. Таким образом, изначально запрещены хранение, передача или изменение информации. Данное правило не распространяется лишь на то использование информации, которое разрешено законом или заинтересованной стороной.

В то время как раньше контроль компаний относительно информационной безопасности и соблюдения требований законодательства о защите информации происходил не столь регулярно, в последние годы государственный контроль ощутимо возрос, стали активно применяться штрафы и уголовная ответственность.

2.2. Система защиты информации в США

Соединенные Штаты, являясь лидерами в области ИКТ, одними из первых столкнулись с негативными последствиями информационной революции. На сегодняшний день опыт США в области обеспечения информационной безопасности является передовым, что обуславливает актуальность и важность проведения данного исследования.

Впервые еще в 1976 г. американский аналитик Томас Рона указал на то, что информационная инфраструктура становится ключевым компонентом экономики и одновременно одной из наиболее уязвимых целей как в военное, так и в мирное время.

Экономика и национальная безопасность США на сегодняшний день полностью зависят от информационных технологий и информационной инфраструктуры. Сетевые технологии обеспечивают функционирование критической инфраструктуры США в таких секторах, как энергетика, транспорт, банковское дело и финансы, информационно- телекоммуникационный сектор, здравоохранение, аварийные службы, сельское хозяйство, питание, водоснабжение, военно-промышленная база, химические продукты и опасные материалы, почта и службы доставки. В этой связи основную озабоченность руководства США вызывают организованные кибератаки, в результате которых может быть нанесен урон национальной критической инфраструктуре, экономике или национальной безопасности.

Число компьютерных инцидентов, связанных с компьютерными системами и сетями, в стране постоянно растет. По данным американского центра реагирования на компьютерные происшествия (US-CERT), c 2006 по 2012 годы рост киберинцидентов составил 782%. В свою очередь, согласно Министерству внутренней безопасности США (МВБ), в период с 2011 по 2013 годы рост числа уведомлений о компьютерных инцидентах, связанных с критической инфраструктурой страны, составил 83% .

Большинство кибератак направлено против предприятий сектора энергетики, а также транспорта, водоснабжения, химической и ядерной отрасли. Стоит отметить, что в 2013 году впервые в ежегодном докладе разведывательного сообщества США «Оценка глобальных угроз» киберугрозы заняли первое место в списке угроз национальной безопасности, опередив угрозу номер один последнего десятилетия – терроризм155. Несмотря на всю важность вопросов обеспечения информационной безопасности и противодействия угрозам в этой сфере, в США не принята единая концепция информационных угроз. Ни один официальный документ США уровня национальной стратегии не содержит перечня угроз в данной сфере и их определений. В американских аналитических и исследовательских материалах можно встретить различные подходы к классификации угроз в области информационной безопасности. С точки зрения нарушаемых свойств информации и информационных систем и сетей деструктивные действия в информационном пространстве направлены на:

- нарушение конфиденциальности (посредством получения неавторизированного доступа к информации, хранящейся в информационной системе);

- нарушение целостности (посредством внесения неавторизированных модификаций и изменений в информационные системы и данные, хранящиеся в них);

- нарушение доступности (посредством создания в злонамеренных целях препятствий для доступа к информационным системам и информации).

Министерство обороны США (МО) в своей деятельности исходит из четырех категорий угроз кибербезопасности, которые включают в себя как акторов, так и отдельные действия:

- угрозы, исходящие от внешних акторов (иностранных государств, криминальных групп);

- угрозы, исходящие от внутренних акторов (инсайдеров); - угрозы, связанные с уязвимостью сети поставщиков оборудования и программного обеспечения;

- угрозы функциональной деятельности Министерства.

При таких масштабах использования ИТ в структурах федерального правительства и в военных целях не удивительно, что ассигнования на программы, связанные непосредственно с информационной безопастностью в соответствии с принятым законопроектом должны возрасти практически в 1,6 раза с $2,7 млрд. в 2002 г. до $4,2 млрд. в 2003 г.15 Всего же за предстоящие пять лет прогнозируемая сумма расходов на информационную безопасность с учетом вышеописанных допущений может составить сумму порядка $22 млрд. или весь бюджет ИТ Пентагона за 2002 г.

В соответствии с Законом о безопасности правительственных информационных систем в конце 2001 г. Бюджетное управление при президенте подготовило для Конгресса США годовой доклад о состоянии информационной безопасности в федеральных ведомствах США. Проанализировав свыше 50 отчетов федеральных ведомств, Бюджетное управление выявило 6 общих для всех недостатков в области информационной безопатсности: эпизодическое, от случая к случаю внимание со стороны руководства к данной проблеме, отсутствие стройной, сбалансированной системы критериев эффективности, слабая система профессиональной подготовки и обучения, неэффективная инвестиционная политика, слабый контроль за ИБ на стадии заключения контрактов на поставку ИТ, отсутствие на местах систем обнаружения вторжения и недостаточный обмен информацией17. Большая часть федеральных министерств и ведомств (60%) тратит от 2% до 6% бюджета ИТ не посредственно на ИБ. И только пять из 24 организаций тратят от 7% до 17%, а еще пять – от 1% до 2%.

2.3.Система защиты информации в Великобритании

Правительство Великобритании начало заниматься проблемами защиты информации раньше остальных европейских государств. С одной стороны это хорошо, поскольку позволило стране накопить достаточно солидный опыт в этой области. Однако если взглянуть на данный вопрос с другой стороны, то выяснится, что вся система защиты информации Великобритании имеет серьезные недочеты. Раньше основной целью считалась безопасность страны. Соответственно, все органы, которые должны были защищать информацию, создавались правительством и были подчинены ему же или соответствующим спецслужбам. Ну а обеспечение безопасности персональных и коммерческих данных оказалось второстепенной задачей. И это проявляется везде.

Взять хотя бы правовое обеспечение защиты информации в Великобритании. Основой являются законы "О государственных документах" и "О государственной тайне". Для обеспечения безопасности остальной информации используется уголовный кодекс и некоторые другие правовые акты. Отдельно стоит упомянуть о защите коммерческой тайны. Дело в том, что об этом каждая организация должна заботиться об этом самостоятельно, используя специальные договора, которые заключаются с сотрудниками перед предоставлением им доступа к данным.

Как мы уже говорили, все организации, контролирующие защиту информации в Великобритании, подчинены правительству. Кроме того, все крупные компании имеют собственные службы безопасности. Средний бизнес зачастую пользуется услугами частных фирм, реализующих и поддерживающих корпоративные системы защиты информации. Эти службы часто объединяют усилия и сотрудничают друг с другом и с государственными структурами. Фактически, на их плечах лежит вся тяжесть борьбы с недобросовестной конкуренцией и промышленным шпионажем.

Еще одной проблемой организации системы защиты информации в Великобритании является консервативность. Разработанная когда-то система остается неизменной уже достаточно давно. Между тем в области информационных технологий все меняется очень быстро, так что периодически возникает необходимость в определенной коррекции органов защиты данных.

В июле 1998 года парламент принял Закон о защите информации, приводящий аналогичный Закон 1984 года в соответствие с требованиями Директивы о защите информации, принятой Европейским Союзом. Действие закона распространяется на учетные записи, ведущиеся государственными учреждениями и частными компаниями. Он налагает ряд ограничений на использование персональных данных и на доступ к учетным записям, а также обязывает юридические лица, ведущие такие записи, регистрироваться в Комиссариате по защите информации.

Комиссариат по защите информации является независимым агентством, обеспечивающим соблюдение требований закона. Во исполнение предыдущей версии Закона о защите информации было зарегистрировано 225 000 организаций и бизнес-структур, хотя считается, что эта цифра намного меньше общего числа юридических лиц, подлежащих регистрации.

На протяжении вот уже двадцати с лишним лет неоднократно предпринимались шаги к принятию закона о свободе информации. "Кодекс практики доступа к правительственной информации", принятый в 1994 году, открывает доступ к государственным архивам, но предусматривает 15 серьезных исключений. Те, чьи заявки на получение информации были отклонены, могут обратиться с жалобой через парламентского министра к парламентскому омбудсмену. В мае 1999 года правительство Великобритании вынесло на обсуждение проект закона, разрешающего доступ к правительственным архивам и предусматривающего введение поста комиссара по вопросам информации, призванного обеспечивать исполнение закона.