ЛЕКЦІЯ 2. НОРМАТИВНІ АКТИ ПРО ІНФОРМАЦІЙНУ БЕЗПЕКУ ТА ЗАХИСТ ІНФОРМАЦІЇ
1. Права людини в інформаційному суспільстві: міжнародні правові акти, що стосуються інформаційних прав особи. Принцип верховенства права в інформаційній політиці держави
2. Конституція України про інформаційні права громадян та інформаційну безпеку
3. Основні положення Закону України “Про інформацію“. “Концепція національної безпеки України“ про загрози в інформаційній сфері
4. Державні стандарти та нормативні документи, що стосуються технічного захисту інформації (ТЗІ)
2.1. Права людини в інформаційному суспільстві: міжнародні правові акти, що стосуються інформаційних прав особи. Принцип верховенства права в інформаційній політиці держави
Важливим аспектом інформаційної діяльності демократичної держави є ієрархія пріоритетів, серед яких на першому місці стоїть міжнародне право, на другому національне законодавство разом з Основним Законом, і вже далі − підзаконні акти, які не повинні суперечити міжнародному та національному законодавству. Як відомо, в українському законодавстві з дотриманням цієї ієрархічності не все гаразд. Часто підзаконні акти та відомчі інструкції стоять на першому місці в діяльності окремих державних органів та посадових осіб.
Які міжнародні правові акти гарантують інформаційні права та свободи людини і громадянина, зокрема право на конфіденційність та право на вільне отримання інформації? Передусім, це “Загальна Декларація прав людини“ (1948 р.) Відповідно до неї, «ніхто не може зазнавати безпідставного втручання у його особисте і сімейне життя“. (Ст.12) За ст.19, «кожна людина має право на свободу переконань і на вільне їх виявлення; це право включає свободу безперешкодно дотримуватися своїх переконань та свободу шукати і поширювати інформацію та ідеї будь-якими засобами і незалежно від державних кордонів».
Важливим документом є “Європейська конвенція про захист прав людини та основних свобод“ (1950 р.), яка про інформаційні права людини говорить наступне: ст.10 «Кожен має право на вираження поглядів. Це право включає свободу дотримуватися своїх поглядів, одержувати і передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів». У цій же конвенції міститься перелік винятків, коли права громадян можуть бути обмежені на законних підставах: «Здійснення цих свобод може бути обмежене в інтересах громадської безпеки, запобігання злочинам, охорони здоров’я, моралі, запобігання розголошенню конфіденційної інформації».
Розвиток комп’ютерних технологій призвів до масової практики автоматизованої обробки інформації в комп’ютерних мережах, в тому числі інформації персонального характеру. Виникла потреба додатково захисту інформаційних прав людини. Цій меті має служити “Конвенція про захист осіб стосовно автоматизованої обробки даних особистого характеру“ (Страсбург, 28 січня 1981 р.) В Преамбулі Конвенції зазначено, що її головною метою є гарантування свободи інформації незалежно від кордонів, безперешкодного обігу інформації між народами. Зміст Конвенції можна проілюструвати через окремі статті.
Стаття 1 гарантує право людини на недоторканість особистого життя, яке підлягає ризику під час автоматизованої обробки персональних даних. Стаття 5 визначає якість обробки даних про особу: «Дані особистого характеру, що підлягають автоматизованій обробці: а) отримуються та обробляються сумлінно та законно; б) зберігаються для визначених та законних цілей; в) мають бути адекватними, відповідними і ненадмірними з точки зору цілей, заради яких вони зберігаються; г) мають бути точними і поновлюватися (на вимогу особи); д) зберігатися не довше, ніж це потрібно цілям збереження». Стаття 6 виокремлює особливу категорію персональних даних, які одержали назву “вразливі“ або “делікатні“. Це «дані особистого характеру, що свідчать про расову належність, політичні або релігійні та інші переконання, а також дані особистого характеру, що стосуються здоров’я, статевого життя, не можуть піддаватися автоматизованій обробці. Це правило стосується також особистих даних, що стосуються кримінального засудження». Стаття 8 встановлює додаткові гарантії для суб’єкта даних: « а) особі надається можливість встановлювати існування файлу особистих даних для автоматизованої обробки, особу і місцезнаходження контролера файлу; б) отримувати без затримки чи витрат підтвердження чи спростування інформації про зберігання даних особистого характеру; в) вимагати виправлення і знищення незаконно одержаних даних; г) гарантується правовий захист персональних даних». Звісно, європейське право передбачає чітке окреслення сфери винятків, їх обґрунтованість і зрозумілість. Обмежити інформаційні права громадян можна в кількох випадках: в інтересах захисту державної та громадської безпеки, валютно-кредитних інтересів держави, боротьби з кримінальними структурами, а також в інтересах захисту прав і свобод інших громадян (Ст.9) Крім того, особисті дані можна використовувати в статистичних підрахунках та наукових дослідженнях (як правило, в знеособленому вигляді).
Важливим міжнародним документом є також “Директива Європарламенту та Ради Європи стосовно обробки персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі“ від 15 грудня 1997 року, метою якої є «забезпечення невтручання в особисте життя при обробці персональних даних в телекомунікаційному просторі та для забезпечення вільного переміщення таких даних». Сфера винятків будується за аналогією з попередніми європейськими актами: це громадський порядок, оборона, державна безпека (включаючи економічний добробут держави), кримінальне право.
Імплементація положень європейського права щодо захисту інформаційних прав людини та громадянина вважається необхідною умовою демократизації політико-правової системи України, її наближення до стандартів ЄС та формування громадянського суспільства.
2.2. Конституція України про інформаційні права громадян та інформаційну безпеку
Конституція (1996 р.) у статті 17 проголошує, що «захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього українського народу». Йдеться про те, що від інформаційної безпеки держави залежить доля народу, його матеріальний добробут та духовне благополуччя. Стаття 19 однозначно стверджує пріоритет Закону та Конституції перед іншими нормативними актами: «Органи державної влади та органи місцевого самоврядування, їхні посадові особи зобов’язані діяти лише в межах повноважень та у спосіб, що передбачені Конституцією та законами України». Відтак, громадяни мають право апелювати до Конституції як закону прямої дії, у випадку, коли посадова особа відмовляє у задоволені запиту громадянина, керуючись підзаконними актами чи внутрішніми інструкціями.
32-га стаття гарантує, що «ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею. Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації».
34-та стаття говорить про право «вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб - на свій вибір», а також встановлює перелік винятків, коли право громадян може бути обмежено: «Здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя».
Як бачимо, поряд із винятками, визначеними європейськими документами, згадується кілька специфічно українських, а саме: запобігання розголошенню конфіденційної інформації та “підтримання авторитету правосуддя“. При цьому найменш зрозумілим є останній виняток.
Так чи інакше, Конституція є найважливішим юридичним актом, що забезпечує інформаційні права громадян України, право на недоторканість приватного життя, та закладає основи для розробки спеціального законодавства з охорони інформаційної безпеки держави.
2.3. Основні положення Закону України “Про інформацію“. “Концепція національної безпеки України“ про загрози в інформаційній сфері
Базовим чинним законом, що регулює інформаційну сферу є Закон України “Про інформацію“, прийнятий 2 жовтня 1992 р. Доцільно викласти основні положення закону. Під терміном “інформація“ закон розуміє «документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві». (Ст.1) Основними принципами інформаційних відносин вважаються: гарантованість права на інформацію; відкритість та доступність інформації; свобода інформаційного обміну; об’єктивність та вірогідність інформації; законність її одержання, використання, поширення та збереження. (Ст.5)
Статті 17 та 18 визначають галузі та види інформації: основними галузями інформації є: політична, економічна, духовна, науково-технічна, соціальна, екологічна, міжнародна. До видів належить: статистична інформація; адміністративна інформація (дані); масова інформація; інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування; правова інформація; інформація про особу; інформація довідково-енциклопедичного характеру; соціологічна інформація.
Стаття 27 дає законодавче визначення терміну “документ“: «Документ - це передбачена законом матеріальна форма одержання, зберігання, використання і поширення інформації шляхом фіксації її на папері, магнітній, кіно-, відео-, фотоплівці або на іншому носієві. Первинний документ - це документ, що містить в собі вихідну інформацію. Вторинний документ - це документ, що являє собою результат аналітико-синтетичної та іншої переробки одного або кількох документів».
Стаття 28 поділяє інформацію на відкриту та інформацію з обмеженим доступом (ІзОД), а стаття 30 роз’яснює, що таке ІзОД, встановлює режими доступу до інформації: Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну.
«Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.
Стосовно інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ - надано статус конфіденційної. Порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. До конфіденційної інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, не можуть бути віднесені відомості:
про стан довкілля, якість харчових продуктів і предметів побуту;
про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;
про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень;
про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб;
інша інформація, доступ до якої відповідно до законів України та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути обмеженим.
Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.
Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої являє загрозу життю і здоров'ю людей.
До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.
Віднесення інформації до категорії таємних відомостей, які становлять державну таємницю, і доступ до неї громадян здійснюється відповідно до закону про цю інформацію.
Порядок обігу таємної інформації та її захисту визначається відповідними державними органами за умови додержання вимог, встановлених цим Законом.
Порядок і терміни обнародування таємної інформації визначаються відповідним законом.
Інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист».
Ця стаття є засадничою для роботи державних службовців з документами, що належать до категорії ІзОД, громадян, які зацікавлені в отриманні “суспільно важливої“ інформації та захисті своїх інформаційних прав, в тому числі права на конфіденційність. У наступній статті 31 якраз йдеться про право громадян на доступ до інформації:
Громадяни мають право: «знати у період збирання інформації, які відомості про них і з якою метою збираються, як, ким і з якою метою вони використовуються; доступу до інформації про них, заперечувати її правильність, повноту, доречність тощо.
Державні органи та організації, органи місцевого і регіонального самоврядування, інформаційні системи яких вміщують інформацію про громадян, зобов'язані надавати її безперешкодно і безкоштовно на вимогу осіб, яких вона стосується, крім випадків, передбачених законом, а також вживати заходів щодо запобігання несанкціонованому доступу до неї. У разі порушень цих вимог Закон гарантує захист громадян від завданої їм шкоди використанням такої інформації.
Забороняється доступ сторонніх осіб до відомостей про іншу особу, зібраних відповідно до чинного законодавства державними органами, організаціями і посадовими особами.
Зберігання інформації про громадян не повинно тривати довше, ніж це необхідно для законно встановленої мети.
Всі організації, які збирають інформацію про громадян, повинні до початку роботи з нею здійснити у встановленому Кабінетом Міністрів України порядку державну реєстрацію відповідних баз даних.
Необхідна кількість даних про громадян, яку можна одержати законним шляхом, має бути максимально обмеженою і може використовуватися лише для законно встановленої мети.
Відмова в доступі до такої інформації, або приховування її, або незаконні збирання, використання, зберігання чи поширення можуть бути оскаржені до суду».
Усі ці положення відповідають європейським правовим нормам. Держава не має право безпідставно відмовляти громадянину у задоволенні його інформаційного запиту, а термін вивчення запиту не повинен перевищувати 10 днів. Задоволення ж запиту повинно відбутися упродовж 30 днів. Громадянин має право оскаржувати в суді відмову державного органу задовольнити інформаційний запит, при цьому саме держава повинна доводити в суді законність такої відмови. Якщо суд встановив, що запитувачу відмовили незаконно, винні посадові особи притягуються до дисциплінарної та іншої, передбаченої законодавством, відповідальності.
37-ма стаття роз’яснює обмеження на доступ до тієї чи іншої інформації. Не всі інформаційні запити громадян можуть бути задоволені. До інформації, що не надається та не оприлюднюється відносять: інформацію, визнану державною таємницею; конфіденційну інформацію; інформацію про оперативну і слідчу роботу органів прокуратури, МВС, СБУ, роботу органів дізнання та суду у тих випадках, коли її розголошення може зашкодити оперативним заходам, розслідуванню чи дізнанню, порушити право людини на справедливий та об'єктивний судовий розгляд її справи, створити загрозу життю або здоров'ю будь-якої особи; інформацію, що стосується особистого життя громадян; документи, що становлять внутрішньовідомчу службову кореспонденцію (доповідні записки, переписка між підрозділами та інше), якщо вони пов'язані з розробкою напряму діяльності установи, процесом прийняття рішень і передують їх прийняттю; інформацію, що не підлягає розголошенню згідно з іншими законодавчими або нормативними актами. Установа, до якої звернуто запит, може не надавати для ознайомлення документ, якщо він містить інформацію, яка не підлягає розголошенню на підставі нормативного акта іншої державної установи, а та державна установа, яка розглядає запит, не має права вирішувати питання щодо її розсекречення; інформацію фінансових установ, підготовлену для контрольно-фінансових відомств.
Закон забороняє державну цензуру: «забороняються створення будь-яких органів державної влади, установ, введення посад, на які покладаються повноваження щодо здійснення контролю за змістом інформації, що поширюється засобами масової інформації». (Ст. 45-1) Разом з тим, інформацією та інформаційною свободою не можна зловживати: «інформація не може бути використана для закликів до повалення конституційного ладу, порушення територіальної цілісності України, пропаганди війни, насильства, жорстокості, розпалювання расової, національної, релігійної ворожнечі, вчинення терористичних актів, посягання на права і свободи людини» (Ст.46).
Закон гарантує рівність усіх учасників інформаційних відносин (громадяни, юридичні особи та держава), розглядає інформацію з точки зору права власності. Крім того, закон визначає низку термінів, важливих в процесі інформаційних відносин: це поняття “інформація як товар“, “інформаційна продукція“, “інформаційна послуга“.
Важливим моментом є встановлення відповідальності за розголошення інформації, яка розголошенню не підлягає (Ст.47). Однак у цій статті є важливий елемент, пов’язаний з формуванням громадянського суспільства: громадянин звільняється від відповідальності за розголошення ІзОД, якщо він у суді зміг довести “суспільну важливість“ такої інформації, тобто потреба суспільства знати цю конкретну інформації визнана важливішою за можливі негативні наслідки її розголошення. На цьому пункті, до речі, ґрунтується легітимність роботи журналістів.
Закон “Про інформацію“ 1992 (з доповненнями до 2005 р.) року безумовно є прогресивним у плані забезпечення демократичних прав та свобод громадян, вільного обігу інформації, але деякі його положення викликають зауваження фахівців. Наприклад, законові закидають відсутність концепції офіційної інформації, неконкретність положень про секретність, розмитість сфери прав та обов’язків громадян і обов’язків державних органів. До осіб, що володіють правом доступу до інформації пропонують включити також жителів держави, які ще не отримали громадянства. Концепція “авторського контролю“ за доступом до конфіденційної інформації вважається застарілою, принаймні, вона зникає з європейського права (йдеться про те, що власник конфіденційної інформації самостійно визначає режим доступу до неї, спосіб отримання, коло осіб, що мають доступ, захист і т.д.) Закидається також брак критеріїв гіпотетичної шкоди від розголошення інформації та суспільного інтересу до цієї інформації. Дослідники пропонують створити доступний реєстр усіх документів, на які поширюються положення закону, для того, щоб допомогти громадянам у пошуку потрібної їм інформації. Нарешті, найбільшу критику викликає положення 29-ї статті про переважне право доступу до інформації службовців під час виконання службових обов’язків. На думку фахівців, це положення суперечить принципові рівності усіх осіб у доступі до інформації. Отже, Закон “Про інформацію“ потребує істотних змін та доповнень, враховуючи демократичний поступ нашої держави та вимоги часу.
Україна − суверенна держава. Ця обставина ставить на порядок денний проблему захисту її інформаційного простору від негативних впливів. Це не означає запровадження цензури, мова йде лише про те, що держава, яка існує на кошти платників податків, повинна забезпечити для них належні умови для інтелектуального, фізичного, духовного розвитку. Про захист інформаційного простору держави йдеться у документі під назвою “Концепція національної безпеки України“ (1997 р.) У 3-му розділі концепції визначаються загрози національній безпеці України в інформаційній сфері:
− відсутність необхідної інфраструктури в інформаційній сфері;
− повільне входження України у світовий інформаційний простір, брак у міжнародного співтовариства об’єктивного уявлення про Україну;
− інформаційна експансія з боку інших держав;
− витік інформації, що становить державну та іншу таємницю, а також конфіденційної інформації, що є власністю держави;
− запровадження цензури;
“Концепція“ формулює основні напрямки державної політики у сфері національної безпеки України:
− вжиття комплексних заходів щодо захисту інформаційного простору та входження України у світовий інформаційний простір;
− усунення причин інформаційної дискримінації України, інформаційної експансії інших держав;
− розробка засобів і режимів отримання, зберігання суспільної цінності інформації, створення розвиненої інфраструктури в інформаційній сфері.
“Концепція“ є, по суті, декларацією про наміри, а здійснення цих заходів, їх конкретизація покладається на органи державної влади, зокрема, силові структури. Але найголовніше: суспільство має усвідомити важливість інформаційної політики, яка поки що недооцінюється.
2.4. Державні стандарти та нормативні документи, що стосуються технічного захисту інформації (ТЗІ)
До них відносяться такі документи: “Державний стандарт України. Захист інформації. Технічний захист інформації. Основні положення“ (ДСТУ 3396.0-96); Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт“ (ДСТУ 3396.1-96); “Державний стандарт України. Захист інформації. Технічний захист інформації. Терміни та визначення“ (ДСТУ 3396.2-96).
Ці стандарти установлюють об’єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ. Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності і підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють та користуються інформацією, що підлягає технічному захисту.
Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження. Об’єкт, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами системи ТЗІ. Цими стандартами визначаються носії ІзОД, середовище поширення, мета ТЗІ (див. далі), джерела загроз.
До джерел загроз відносяться діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб. Далі йдеться про канали поширення загроз, розроблення і реалізацію системи захисту інформації, контроль за ТЗІ та функції нормативних документів у сфері ТЗІ. До таких функцій, зокрема, належить: проведення єдиної технічної політики; створення і розвиток єдиної термінологічної системи; функціонування багаторівневих систем захисту інформації на основі взаємопогоджених положень, правил, методик, вимог та норм; функціонування систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації; розвиток сфери послуг у галузі ТЗІ; установлення порядку розроблення, виготовлення, експлуатації засобів забезпечення ТЗІ та спеціальної контрольно-вимірювальної апаратури; організація проектування будівельних робіт у частині забезпечення ТЗІ; підготовка та перепідготовка кадрів у системі ТЗІ. Нормативні документи системи ТЗІ поділяються на: нормативні документи із стандартизації у галузі ТЗІ; державні стандарти та прирівняні до них нормативні документи; нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України; нормативні документи міжвідомчого значення технічного характеру, що реєструються уповноваженим Кабінетом Міністрів органом; нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.