Тема 11. Система захисту інформації в провідних країнах західної Європи: Великій Британії, Франції, Німеччині » Народна Освіта


Народна Освіта » Правознавство » Тема 11. Система захисту інформації в провідних країнах західної Європи: Великій Британії, Франції, Німеччині






Тема 11. Система захисту інформації в провідних країнах західної Європи: Великій Британії, Франції, Німеччині

11.1. ВЕЛИКА БРИТАНІЯ

11.1.1. Нормативно-правове забезпечення захисту інформації.

У європейських країнах діяльність щодо захисту персональних даних ґрунтується на принципах Конвенції «Про захист прав людини та основних свобод» від 04.11.1950 p., Конвенції № 108 ради Європи «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» від 28.01.1981 p., Директиви 95/46/ЄС Європейського парламенту і Ради Європейського Союзу від 24.10.1995 р. «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних і вільним обігом цих даних» та Директиви 97/66/ЄС Європейського парламенту та Ради Європейського Союзу «Про обробку персональних даних і захист прав осіб у телекомунікаційному секторі» від 15.12.1997 р. Відповідно до статті 13 Конвенції № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» від 28.01.1981 р. для забезпечення захисту персональних даних «кожна країна (держава-член Конвенції) призначає один чи більше органів з питань захисту персональних даних». Призначений орган є наглядовою інстанцією за діяльністю у сфері захисту персональних даних, забезпечує організацію законодавчої та адміністративної роботи на національному рівні і складає основу інституту уповноваженого з питань захисту персональних даних в країні.

Інститут уповноваженого з питань персональних даних у Великобританії функціонує згідно із законом «Про захист даних» від 12.07.1984 р. Цим законом визначено посади Міністра, до компетенції якого віднесено питання захисту персональних даних, Реєстратора і утворено Суд із захисту даних. Фактично саме цим законом окреслена нормативно-правова основа захисту персональних даних.

Міністр має право змінити чи доповнити положення даного Закону з метою надання гарантій із захисту персональних даних. Однак його проект, розпорядження, правила чи наказ повинні схвалюватися постановою кожної палати Парламенту.

Реєстратор призначається грамотою Її Величності королеви, і має такі обов’язки:

-    ведення реєстру осіб, що збирають і зберігають персональні дані, а також осіб, що мають комп’ютерні бюро і надають послуги щодо персональних даних;

-    вручення повідомлень про порушення Закону 1984 p., про скасування реєстрації або про заборону передачі даних;

-    розгляду скарг про порушення Закону 1984 р.

Кожна особа має право звернутися з апеляцією до Суду із захисту даних у разі відмови реєстратора розглянути скарги про порушення Закону 1984 р.

Основними організаційно-правовими елементами системи захисту персональних даних у Великобританії є:

-    ведення реєстру користувачів даних, баз персональних даних і осіб, що надають послуги у сфері захисту персональних даних (ч. 2 Закону 1984 p.);

-    перевірка і контроль діяльності з персональними даними (ст. 9, 16 Закону 1984 p.);

-    вручення повідомлення про порушення, про скасування реєстрації, про заборону передачі даних (ст. 10 Закону 1984 p.);

-    адміністративне (ст. 36 Закону 1984 р.) і судове оскарження у зв’язку із захистом персональних даних.

До торгівельних секретів у Великобританії відносять інформацію, яка придатна для промислового або комерційного використання; інформацію про способи виробництва, продажу тощо, а також інформацію про технології або бізнес. Крім того, в англійській правовій літературі та матеріалах з питань порушення конфіденційності цей термін використовують для відмежування інформації комерційного або виробничого характеру від інформації особистого характеру.

Як уже зазначалося, термін «ноу-хау» вперше було використано в США в 1916 році у судовій справі Дюранда проти Брауна. Проте тільки у Великобританії він знайшов законодавче визначення. «Ноу-хау» - це інформація, яка має комерційну цінність. Вона може бути секретом виробництва, може бути запатентованою. Маркетинг і управлінські навички, а також просто ділові консультації можуть бути «ноу-хау». Якщо хто-небудь бажає платити за інформацію, на

неї може бути попит на міжнародному ринку або може бути видана міжнародна ліцензія.

Великобританія - єдина країна, яка довгий час не мала законодавства про доступ до інформації, і в якій тривалий час обстоювалася думка про необхідність збереження урядової таємниці. Однак у 2000 році з прийняттям Закону «Про свободу інформації» було запроваджено процедуру розголошення інформації, якою володіють органи державної влади або особи, які надають послуги громадянам. При розголошенні інформації з обмеженим доступом застосовується тест «заподіяної шкоди», якщо її розкриття може заподіяти шкоду певним інтересам (наприклад, у випадках питань охорони здоров’я та безпеки, доступ до неї обмежено, якщо її розголошення може зашкодити фізичному або психічному стану особи).

Положення цього Закону чітко не визначили випадки, у яких органи влади повинні застосовувати простий або комплексний тест «заподіяння шкоди». Обмеження доступу до інформації визначаються залежно від виду документа та його змісту: інформація, пов’язана з питаннями національної безпеки або з діяльністю органів, що відповідають за питання безпеки; інформація, якою володіють органи влади з метою судового розгляду або розслідування; записи органів судової влади; інформація, яка пов’язана з розробкою державної політики; інформація, що була Надана конфіденційно, кореспонденція Її Величності Королеви тощо. Але навіть у випадку, коли органи влади згідно з положеннями Закону не повинні задовольняти запити на інформацію, Закон вимагає застосування тесту «публічних інтересів» та розголошення інформації, якщо публічні інтереси превалюють у даній справі. У такому випадку органи влади повинні застосовувати двоступеневу перевірку: по-перше, визначити, чи належить інформація до категорії з обмеженим доступом (і якщо це так, то застосувати тест «заподіяної шкоди»), і, по-друге, розглянути публічні інтереси при розкритті інформації.

Основним джерелом правового регулювання відносин, пов’язаних з використанням торгових секретів і «ноу-хау» у цій країні є прецедентне право. Тлумачення «ноу-хау» розглянуто у наступних судових рішеннях, визнаних прецедентними: «Прінтерз енд Фінішер» проти «Головею» (1965 p.); «ETC. Серкьюнг Фойлз» проти

«Електрофойлз» (1976 р.) та ін., відображено в Законі про доходи і податки корпорацій від 1970 р.

Спроби запровадити право власності до «ноу-хау» і торгових секретів: «Стівенсон Джордан енд Харісон Лтд.» проти «Макдональд енд Аванс» (1961 p.); «Паул (К.С.) Лтд.» проти «Саузен Інструментз Лтд.» (1965 p.); «Фіне» проти «Бордман» (1967 p.); «Індастріел Фо-несез Лтд.» проти «Рейвс» (1970 p.). «Терапин Лтд.» проти «Білдез Санлай К. Лтд.» (1967 p.).

Уперше термін «конфіденційна інформація» отримав юридичне визначення, а «порушення конфіденційності» стало основою делікту: «Солтмен Ендмініарз К.» проти «Кемівелл інжиніринг К.» (1948 p.); Закон «Про крадіжки» 1968 р. (зі змінами Закону про крадіжки 1978 p.): § 1, § 4 (1), § 6; § 44 Патентного закону регулюються патентні ліцензії, об’єктами яких є «ноу-хау» або торгові секрети.

Окремі питання, пов’язані з «ноу-хау» і торговими секретами за аналогією регулюються: Законом «Про обмеження торгової практики» 1976 p.; Законом «Про обмеження торгової практики» 1977 p.; Законом «Про арбітраж» 1975 p.; Законом «Про арбітраж» 1979 p.; Законом «Про порушення конфіденційності» 1981 р.

11.1.2. Нормативно-правове забезпечення охорони державної таємниці.

Існуюча в теперішній час у Великій Британії система захисту національних секретів базується на Законі «Про державну таємницю» 1911 року і прийнятих у 1920, 1939 і 1988 pp. доповненнях до нього. Першого березня 1990 року набув чинності розроблений урядом закон про захист державних секретів (Official Secret Act), що замінив другий розділ закону від 1911 року.

У новому законі конкретизовані формулювання складу злочинів, пов’язаних із розголошенням інформації, що охороняється, більш чітко подане визначення відомостей, які складають державну таємницю, уточнені поняття збитків, що завдаються країні в результаті розголошення тих чи інших відомостей. Даний закон визначив шість основних категорій секретної інформації, розголошення якої карається в судовому порядку. До їх числа увійшли всі відомості, що стосуються діяльності спецслужб (служба безпеки і секретна розвідувальна служба), питання оборони, зовнішньої політики, а також

інформація, отримана конфіденційно від іноземних урядів або міжнародних організацій, дані правоохоронних органів, що можуть бути використані злочинцями, матеріали оперативно-технічних заходів.

Уряд Великої Британії особливу увагу приділяє захисту секретних відомостей безпосередньо в кабінеті міністрів. З цією метою в 1986 році були розроблені рекомендації членам кабінету міністрів про правила поводження і дотримання таємниці під час виконання службових обов’язків, відповідно до яких члени кабінету міністрів повинні підтримувати репутацію і єдність англійського уряду і зберігати в таємниці усе, що стосується його діяльності. При призначенні на посаду, у тому числі і повторно, міністри зобов’язані пройти інструктаж з питань забезпечення державної безпеки, який проводять представники служби безпеки і контррозвідки. Ново-призначений на посаду кожний член уряду підписує декларацію, що засвідчує його ознайомлення з основними положеннями Закону «Про державну таємницю».

Кабінет міністрів Великої Британії вживає активних заходів щодо запобігання витоку секретних відомостей через засоби масової інформації, керуючись при цьому положеннями закону про державну таємницю, а також закону про конфіденційність. Відповідно до положень останнього уряд має право домагатися через суд першої інстанції заборони публікації певних матеріалів шляхом окремої ухвали судді без зазначення осіб, стосовно котрих приймається заборона. Внаслідок цього автору і видавцям можуть заборонити публікування матеріалів за кордоном. Суд має право зобов’язати ініціаторів публікації забрати рукопис з будь-якого іноземного видавництва. Уряд може вимагати від видавців і автора подати на розгляд зміст публікації і перелік використаних джерел, якщо вони бажають, аби заборона була знята.

У січні 1995 року у Великій Британії набула чинності нова процедура перевірки на благонадійність державних службовців, котрі мають доступ до секретної інформації. Цей захід був пов’язаний з непоодинокими випадками підкупу посадових осіб представниками мафії, наркосиндикатів, терористичних організацій і спецслужб іноземних держав.

Стосовно службовців, які мають «тривалий, частий, неконтро-льований доступ до секретних документів», здійснюються перевірки

банківських рахунків і кредитних платежів. Про всі випадки виявлення внесків підозрілого походження інформується служба безпеки (МІ-5).

Найбільш ретельно перевіряються особи, які мають доступ до цілком таємних матеріалів. У першу чергу це стосується співробітників спецслужб, котрі працюють під прикриттям англійських представництв за кордоном або виконують обов’язки офіцерів зв’язку при штаб-квартирах іноземних спецслужб.

Поряд із перевіркою за обліками національного архіву кримінальних справ, поліції, відповідних міністрів і служб безпеки передбачається проведення співбесід із особами, які перевіряються, й опитування їх найближчого оточення, включаючи колишніх і нинішніх роботодавців. Паралельно здійснюється ретельне вивчення документації, що стосується фінансового стану осіб, які перевіряються, в тому числі банківські рахунки і кредитні платежі.

З метою підвищення жорсткості контррозвідувального режиму уряд Великої Британії за ініціативою МВС прийняв доповнення до закону про державну таємницю. Поправки посилюють покарання за розголошення відомостей, що мають оборонний характер, стосуються зовнішньої політики й діяльності спецслужб.

У Великій Британії введено в дію новий закон про службу безпеки, котрий дещо обмежує повноваження контррозвідки МІ-5. Тепер для проведення негласних обшуків (оглядів), прослуховування та інших спеціальних операцій необхідна санкція міністра внутрішніх справ. У випадку надходження скарг на МІ-5 з боку приватних осіб, громадських організацій та ін. передбачається процедура їх розгляду у спеціально створеному незалежному трибуналі.

У Великобританії злочином вважається опублікування секретної інформації, що стосується оборони країни, а спеціальне виправдання на основі суспільного інтересу для преси або службовців, що надали таку інформацію, відсутнє.

11.1.3. Органи захисту інформації.

Зазначимо, що найбільш чітка система органів, які займаються захистом інформації, існує якраз у цій країні (Великобританії), оскільки вона створювалася в рамках держави і для забезпечення її потреб.

У країні діють служби безпеки, які займаються захистом інформації в промислових, торгівельних фірмах, у сфері оборонної промисловості, приватної служби захисту інформації. Саме вони займаються виявленням нечесної конкуренції, промисловим шпигунством та протидією йому.

Уряд Великобританії розпочав займатися проблемами захисту інформації раніше інших європейських держав. З одного боку, це добре, оскільки це дозволило країні нагромадити досить солідний досвід у цій галузі. Однак якщо 'розглянути це питання з іншого боку, то з’ясується, що вся система захисту інформації Великобританії має серйозні недоліки. Раніше основною метою вважалася безпека країни. Відповідно всі органи, які повинні були захищати інформацію, створювалися урядом і були підлеглі йому ж або відповідним спецслужбам. Ну, а забезпечення безпеки персональних і комерційних даних виявилося другорядним завданням. Це характерно було для усього суспільства.

Взяти хоча б правове забезпечення захисту інформації у Великобританії. Основою є Закони «Про державні документи» і «Про державну таємницю». Для забезпечення безпеки іншої інформації використовуються Кримінальний кодекс і деякі інші правові акти. Окремо варто згадати про захист комерційної таємниці. Справа в тому, що про захист комерційної таємниці кожна організація повинна піклуватися самостійно, використовуючи спеціальні договори, які укладаються зі співробітниками перед наданням їм доступу до даних.

Як зазначалося вище, всі організації, що контролюють захист інформації у Великобританії, підлеглі уряду. Крім того, всі великі компанії мають власні служби безпеки. Середній бізнес найчастіше користується послугами приватних фірм, що реалізують і підтримують корпоративні системи захисту інформації. Ці служби часто об’єднують зусилля й співпрацюють одна з одною і з державними структурами. Фактично на їхніх плечах лежить весь тягар боротьби з несумлінною конкуренцією й промисловим шпигунством. У Великій Британії існує Офіс уповноваженого з питань інформації.

ТІ Те однією проблемою організації системи захисту інформації у Великобританії є консервативність. Розроблена колись система залишається незмінною вже досить довго. Тим часом в галузі

інформаційних технологій усе міняється дуже швидко, так що періодично виникає необхідність у певній корекції органів захисту даних.

У травні 1992 р. Торгово-промисловий департамент (ТПД) Великобританії опублікував документ «Вимоги користувачів до стандартів захисту інформації» (User requirement for IT Security Standards). У документі були викладені результати досліджень, проведені британським інститутом стандартів й організацією DISC разом з компанією Serna Group в галузі інформаційної безпеки (ІБ). Основна рекомендація дослідників зводилася до необхідності прийняття єдиного стандарту із ІБ, що повинен бути доповнений сертифікацією заходів безпеки, що вживають в організаціях користувачів. Відзначається, що вже на цьому етапі розробки нормативних матеріалів було визначено низку норм в галузі ІБ, однак жодна з них не була затверджена. ТПД була створена робоча група, у яку ввійшли представники восьми фірм: ВОС Group, British Telecommunicatios, Marks and Spencer, Midland Bank, Nationwide Building Society, Shell International, Shell UK, Unilever плюс представник організації DISC і Британського інституту стандартів. Результатом роботи цієї групи стали «Норми керування інформаційною безпекою» (The Code of Practice for information Security Management), які прийняті у вересні 1993 р. Норми призначаються для використання керівництвом компаній і особами, відповідальними за впровадження й стан ІБ на фірмі. Вироблення цих норм переслідувало два завдання: дати фірмам єдину основу для розробки, впровадження й оцінки ефективності заходів, проведених керівництвом служби безпеки; забезпечити довірчість відносин при проведенні операцій між окремими фірмами.

Трьома основними принципами ІБ у відповідності до цього нор-мативно-правового акту є:

-    конфіденційність: захист важливої інформації від несанкціонованого розкриття;

-    збереження (цілісність): забезпечення точності й повноти даних і програмного забезпечення;

-    доступність: інформація й основні види послуг при виникненні в їх необхідності повинні бути завжди доступні користувачеві.

Інформаційні технології (IT) і підтримуючі їхні системи - це найважливіші цінності для будь-якої галузі бізнесу. Конфіденційність, збереження і доступність даних у них можуть відігравати вирішальну роль у створенні й підтримці привабливого іміджу фірми або організації.

Ці норми розраховані насамперед на застосування в малих і середніх фірмах, які дотепер не ставили перед собою проблему ІБ. Таким фірмам пропонується впровадити в свою структуру заходи, що вже довели свою ефективність в інших установах. Розробкою норм займалися представники ділових структур з фінансового, виробничого і торговельного бізнесу, що дозволило зібрати разом різні заходи для ІБ і відібрати серед них найбільш ефективні. Норми базуються на десятьох категоріях:

-    розпорядок забезпечення інформаційної безпеки;

-    організація забезпечення інформаційної безпеки;

-    виявлення і контроль використання цінностей;

-    забезпечення безпеки персоналу;

-    забезпечення фізичної і зовнішньої безпеки;

-    забезпечення контролю доступу до систем;

-    розвиток і обслуговування систем;

-    планування і гнучке поводження в умовах виникнення непередбачених обставин у бізнесі.

Розроблено десять ключових положень, які складають ІБ підприємства. Вони придатні для будь-якої організації, однак виявляються найбільш ефективними при впровадженні в малих фірмах:

-    наявність документа, що регламентує порядок забезпечення ІБ;

-    розподіл відповідальності;

-    навчання ІБ;

-    інформування про інциденти в галузі І Б;

-    захист від комп’ютерних вірусів;

-    планування безперервності виробничого процесу;

-    контроль за копіюванням документів;

-    захист офіційних документів фірми;

-    дотримання законодавства в галузі захисту даних;

-    дотримання розпорядку забезпечення ІБ.

Кожна організація Великої Британії зобов’язана реалізовувати ці положення в повному обсязі.

11.2. ФРАНЦІЯ

11.2.1. Нормативно-правове забезпечення охорони державної таємниці.

Питання вререгулювання безпеки належать у Франції до компетенції прем’єр-міністра. Він видає накази і погоджує заходи щодо забезпечення захисту секретних матеріалів та інформації, що стосується національної оборони і державної безпеки.

Прем’єр-міністру надає допомогу генеральний серетаріат національної оборони (SGDN) (ГСНО), котрий забезпечує організацію та проведення відповідних заходів, спрямованих на захист секретної інформації, а також контроль за їх виконанням.

У цій країні захист державної таємниці здійснюється на основі статей Кримінального кодексу, комерційна таємниця захищається статтями Кримінального кодексу, Трудового і Цивільного кодексу.

Прискіпливо у Франції захищається інформація оборонного характеру, яка відноситься до державної таємниці. Серед видів таємниць слід відзначити таємницю національної оборони, професійну таємницю і комерційні секрети.

Державні секрети у Франції позначаються поняттям «таємниця національної оборони» (окремі автори використовують термін «таємниця національного захисту»). Інформація у цій країні вважається у першу чергу фактором національної оборони й безпеки; щодо неї діє вимога забезпечення її таємності без врахування того, чи завдає її розголошення збитку національним інтересам.

Питання захисту державної таємниці знайшли відображення в четвертій книзі Кримінального кодексу Франції «Про злочини і провини проти науки, держави і громадського порядку». У відповідності зі ст. 413-9 Кримінального кодексу «таємниця національної оборони - це важливі для національної оборони відомості, технології, методи, предмети, документи, інформаційні дані, у тому числі ті, які збережені в пам’яті ЕОМ, дані картотек, що стали об’єктом спеціальних захисних заходів, передбачених відповідним декретом державної ради Франції і спрямованих на виключення їхнього поширення або надання недозволеним особам».

До злочинних діянь, пов’язаних з розголошенням державної таємниці у Франції, відноситься: зрада, у тому числі зазіхання,

17&

d&Jtabrf.Hb' S .-.".і.4...    _______сУя ліь-.,    , ’Ж

пов’язані з передачею іноземній державі секретних відомостей про національну оборону; підбурювання до зради; шпигунство; дії, спрямовані на одержання незаконного доступу до державних секретів; проникнення на охоронюваний об’єкт; організація прихованої системи одержання інформації, збір відомостей, що не є випадковими, але передача інформації про сукупності яких може завдати шкоди інтересам національної оборони; навмисне або необережне розголошення секретної інформації, знищення документів або предметів-носіїв секретної інформації особою, уповноваженою на їхнє зберігання; одержання, розголошення і знищення секретної інформації особою, що не має права на доступ до неї; передача винаходів, пов’язаних з інтересами національної оборони; розголошення військової інформації, що не підлягає опублікуванню; недонесення про діяльність, що завдає шкоди інтересам національної оборони.

Декретом уряду від 3 квітня 1980 року в усіх цивільних міністерствах Франції, що мають відношення до проблем оборони, були створені «служби захисту секретів», які очолили високопоставлені військові фахівці, котрі отримали статус радників міністра. До функціональних обов’язків цих служб входить розробка і реалізація мобілізаційних планів, підтримка контактів із службою оборонної безпеки, здійснення практичних заходів щодо захисту секретів.

Остаточно законодавчі межі у сфері захисту державних секретів встановлені урядовим декретом № 281 - 514 від 12 травня 1981 року «Про організацію захисту секретів та інформації, що стосуються національної оборони і державної безпеки».

Декретом впроваджено нову систему класифікації секретних документів, а міністерствам доручено скласти переліки відомостей, які підлягають засекречуванню, і визначити критерії та правила захисту інформації, насамперед оборонної, а також відомостей обмеженого поширення. Відповідно до нової системи визначено три основних грифи таємності:

«цілком таємно» / TRES SECRET DEFENSE /;

«таємно» / SECRET DEFENSE /;

«конфіденційно» / CONFIDENTIEL DEFENSE /.

Гриф «цілком таємно» надається інформації, що стосується пріоритетних напрямків в галузі оборони та безпеки, розголошення якої може завдати непоправної шкоди національній обороні.

Прем’єр-міністр визначає критерії та способи захисту «цілком таємної» інформації, яка розподілена за спеціальною класифікацією на декілька категорій, що належать до різних державних пріоритетів. Він призначає посадових осіб, відповідальних за здійснення необхідних заходів на цьому рівні захисту.

Різні види цілком таємних документів мають різні процедури оформлення допуску до них. Так, сфера поширення документів із грифом «TRES SECRET DEFENSE CONSEIL» обмежена 25-ма особами - постійними членами ради національної оборони Франції. Для участі в засіданні ради, де обговорюються такі документи, особам, які не є її постійними членами, необхідно одержати спеціальний допуск, дійсний тільки на одне засідання.

Захист цілком таємних відомостей - компетенція генерального секретаря національної оборони, якому відповідно до декрету № 2-78 від 25 січня 1978 року було доручено поряд із розробкою законодавчих і нормативних актів з питань захисту оборонних секретів здійснювати і контролювати необхідні заходи в цій галузі.

Гриф «таємно» надається інформації, розголошення якої може завдати значної шкоди національній обороні та держбезпеці.

Гриф «конфіденційно» надається інформації, що не містить відомостей секретного характеру, але її знання, збирання і використання може призвести до розголошення секретів, які стосуються національної оборони та державної безпеки.

На виконання декрету № 81-514 у березні 1982 року була видана міжміністерська інструкція № 2-1300 із питань захисту секретів і відомостей, що стосуються національної оборони і державної безпеки, яка і донині є основним нормативним актом у цій галузі.

Показовим є те, що положення про захист секретів включалися в більшість законодавчих і відомчих нормативних актів, які стосуються основних сфер державної діяльності.

Захисту підлягають не тільки відомості військового та політичного характеру, але й інша інформація, що стосується сфер дипломатії, науки, техніки, промисловості, економіки, ознайомлення з

якою осіб, котрі не мають спеціального допуску, може призвести до розкриття оборонних секретів країни.

Протягом 1980 - 1983 рр. були введені в дію більш жорсткі правила запобігання витоку науково-технічної інформації з французьких науково-дослідних центрів і промислових фірм. Контррозвідуваль-ні органи - загальнодержавна контррозвдка (Direction de a Surveillance du Territoire - DST); головне управління зовнішньої безпеки, загальнодержавна зовнішня розвідка (Direction General de la Securi-te Exteriemre - DGSE) займаються захистом державних секретів.

У серпні 1982 року було видано міжміністерську інструкцію № 2-486 «Про захист національного надбання в галузі науки і техніки при здійсненні міжнародного обміну». У ній було визначено, що охоронятися повинна будь-яка інформація, яка стосується життєдіяльності держави і нації.

Із питаннями захисту секретів під час міжнародного обміну має справу створений ще у 1949 році комітет наукової діяльності в галузі оборони (CASD), уповноважений готувати для прем’єр-міністра списки установ і підприємств (режимних об’єктів), котрі підлягають особливому захисту, а також списки країн, щодо яких слід застосовувати «особливі правила» при науково-технічному і торгово-економічному співробітництві.

Відповідно до вказівки прем’єр-міністра від 8 серпня 1982 року комітету доручено «стежити за розвитком особливо важливих галузей науки і техніки і виділяти ті з них, що потребують захисту».

Для визначення ступеня таємності наукових досліджень, проведених у Франції, часто застосовує такі критерії:

-    можливість використовування результатів наукових досліджень у військовій галузі з метою зміни співвідношення сил;

-    можливість досягнення якісної переваги над конкурентами завдяки впровадженню результатів досліджень.

Власні системи засекречування інформації діють у розвідувальних і контррозвідувальних органах Франції, а також у комісаріаті атомної енергетики і генеральному штабі французької армії. Зокрема, усі відомості, що стосуються діяльності DST, включаючи її організаційну структуру, бюджет і кадровий склад, є секретними.

У DST найбільш важлива і термінова інформація щодо поточних заходів контррозвідки, як правило, не фіксується в письмовому

вигляді. Для відомостей особливо секретного характеру тут заведена форма запису олівцем, причому виконані у такий спосіб документи не здаються в архів, а знищуються після їхнього проходження.

У DST до категорії цілком таємних відомостей віднесено:

-    відомості про діяльність генерального директора;

-    відомості про «особливі операції»;

-    посади прикриття співробітників розвідки за кордоном;

-    установчі дані на співробітників служби;

-    відомості, що стосуються безпеки служби.

У прийнятому в 1979 р. Законі «Про архіви» (ст. 7) збільшено до 60 років (замість ЗО) термін, протягом якого не може бути відкритий доступ до архівів, що містять відомості з питань національної оборони.

Інструкцією № 2-1300 передбачено періодичний перегляд ступеня таємності відомостей, що охороняються. Допускається зниження ступеня таємності документів із грифом «таємно» після 10 років і зняття грифа «конфіденційно» через 5 років зберігання таких матеріалів. У цій же інструкції викладений порядок оформлення допуску до секретних відомостей. У преамбулі підкреслюється, що відми-ва в ознайомленні із секретною інформацією не означає недовіри до даної особи і не ставить під сумнів її лояльність. Як зазначено, процедура оформлення допуску призначена для того, аби переконатися, що приватна особа «може без ризику для національної оборони, державної безпеки або особистої безпеки ознайомитися із секретною інформацією в обсязі, що відповідає функціональним обов’язкам».

Відповідальний за допуск до цілком таємних відомостей - генеральний секретаріат національної оборони, за допуск до секретної і конфіденційної інформації - міністр відповідного відомства. їм же належить право остаточного рішення про доцільність допуску. Обов'язковими умовами для допуску до секретної інформації є вік особи - не молодше 21-го року, наявність безперервного трудового стажу - не менше трьох років.

Особа, що запитує про дозвіл на допуск до секретних відомостей, повинна отримати згоду безпосереднього начальника, подати дві фотокартки та докладну анкету із зазначенням усіх місць свого мешкання, поїздок за кордон, місць роботи та прізвищ роботодавців, біографій своїх найближчих родичів і осіб, з якими вона

спільно проживає. Оформлена таким чином справа направляється до ГСНО, звідки, після попереднього перегляду, передають до DST (для військових - до контррозвідувальної служби Міністерства оборони - DPSD).

Мета розгляду справи щодо допуску полягає у виявленні в кандидата вразливих місць і недоліків, що можуть бути використані противником при його вербуванні. Беруться до уваги національність, зв'язки з іноземцями, судимості, вади характеру. З кандидатом часто проводяться бесіди, здійснюється спостереження за членами його родини, за поведінкою під час спеціально влаштованих зустрічей з іноземцями тощо. Все це дає змогу співробітникові, котрий веде справу, висловити більш точне судження щодо відповідності кандидата вимогам.

Після ретельної перевірки контррозвідувальна служба робить свій висновок, який доводиться до відома керівників відповідних установ і відомств. Якщо особа, котра запитує про допуск, наполягає на з’ясуванні мотивів відмови, органи влади, як правило, посилаються наст. 7 декрету № 2 79-587 від 11 липня 1979 року, де передбачена можливість відмови в будь-якому призначенні на посаду без пояснення причин.

Допуск дійсний: до «цілком таємних відомостей» - 3 роки; до «таємних» і «конфіденційних» відомостей - 5 років.

При одержанні допуску майбутньому секретоносію пропонують ознайомитися з інструкцією № 2-1300 і відповідними статтями Кримінального кодексу про покарання за розголошення секретів, після чого він дає підписку і стає об’єктом контролю з боку відповідної служби безпеки.

Кожна особа, яка одержала доступ до секретної інформації, зобов’язана:

-    у повному обсязі виконувати встановлені щодо забезпечення захисту інформації вимоги;

-    не допускати розголошення інформації;

-    негайно доповідати начальнику свого підрозділу про всі факти витоку або ризику витоку інформації, яка підлягає захисту.

Кримінальний кодекс Франції (ст. 73 - 79) передбачає за розголошення «секретів національної оборони і державної безпеки» покарання у вигляді позбавлення волі на термін від 2 до 20 років, а за

передачу секретних відомостей іноземній державі - вищу міру покарання.

Кримінальну відповідальність передбачено і за ненавмисне розголошення секретних відомостей (необачність, необережність, недбалість).

У кримінальному порядку переслідуються також особи, котрі, відповідаючи за збереження секретів, допустили вилучення або знищення секретних документів.

Для посилення відповідальності за порушення режиму таємності «зон обмеженого доступу» (місця, де виготовляються, обробляються, зберігаються секретні документи), такі місця прирівнюють до зон, що охороняються, на які поширюється дія ст. 418.1 Кримінального кодексу Франції.

Запобігання витоку передових технологій за кордон розглядається як один з найважливіших напрямків роботи спецслужб на каналі міжнародного науково-технічного співробітництва. Хоча контррозвідувальні функції виконує і DGSE, головним підрозділом французьких спецслужб, що займається боротьбою зі шпигунством, є спеціальне управління DST. Функціями цього департаменту є захист економічних, наукових і технологічних секретів; забезпечення режиму таємності; підтримка контактів із керівниками служб безпеки французьких організацій і установ. Значна увага в роботі DST приділяється питанню підвищення пильності персоналу французьких фірм при співробітництві з іноземними організаціями країн, які ведуть розвідувальну діяльність щодо Франції, а також нейтральних країн, які мають тісні контакти з державами, що проводять розвідувальну діяльність відносно Франції.

Кожен факт викриття реального або можливого витоку інформації оборонного значення повинен негайно доповідатися вищому керівництву і відповідальному за безпеку, котрий інформує про це DST, яка, у свою чергу, зобов'язана провести розслідування під контролем судової влади.

Наприклад відповідно до частини першої Генеральної міжмініс-терської інструкції щодо захисту секретів та інформації, що стосується національної оборони та безпеки держав, прийнятої французькою державою 12 березня 1982 року, встановлюється 4 види захисту інформації відповідно до режиму доступу: захист TRES таємниці, захист

таємниці, захист конфіденційної інформації та четвертий рівень захисту, що додається для інформації, яка повинна розповсюджуватись обмежено, хоча і не є таємною, але не повинна бути оприлюднена.

Що стосується інформації, яка може бути довірена Франції іншими державами відповідно до угод щодо безпеки, така інформація визнається належною до останньої з зазначених категорій незалежно від режиму доступу в країні походження. Взагалі зазначений нормативний акт присвячений питанням забезпечення безпеки класифікованої інформації (інформація певного класу, для якого встановлений особливий режим обігу і захисту), щодо рівнів захисту якої зазначалося вище. Однак в якості особливості інструкції слід визначити своєрідну форму захисту privacy. Частина друга інструкції присвячена захисту особи від тієї шкоди, яка може бути завдана особі внаслідок володіння інформацією з обмеженим доступом (класифікованою). Такий захист особи одночасно виконує й іншу функцію - захисту зазначеної інформації, оскільки особа визначається як головне потенційне джерело витоку інформації. Побудова захисту ґрунтується головним чином на попереджувальних елементах. Суворо застосовується критерій «потреби знати», де особа повинна мати доступ до класифікованої інформації лише в тій мірі, в якій це необхідно для виконання її обов’язків. Ця «потреба знати» повинна розумітися відповідно до статті 7 Декрету від 12 травня 1981, як зобов’язання, пов’язане з виконанням обов’язків, і не є особистим правом бути проінформованим. Компетентні владні структури є відповідальними за оцінку цієї потреби, і вона не може бути задоволена, перш ніж буде винесене рішенні щодо забезпечення доступу до класифікованих документів.

Велике значення в забезпеченні інформаційної безпеки особи відіграє законне і справедливе вирішення інформаційних спорів, виникнення яких є закономірним результатом розвитку інформаційних відносин в сучасному суспільстві. Такі спори виникають сьогодні як в західних країнах, так і в країнах близького зарубіжжя.

11.2.2. Нормативно-правове забезпечення захисту інформації.

Закон «Про свободу преси» був прийнятийу у Франції 1978 р. У 1979 році до загального закону, який надає доступ до адміністративних документів (1978), було внесено певні зміни Законом «Про обґрунтування адміністративних документів та про покращення

відносин між адміністрацією та громадськістю». У 2000 році в згадані закони вносилися зміни та доповнення.

Цей закон визначив перелік виключень, відповідно до яких органи влади можуть відмовити у доступі до документів, якщо розкриття інформації може завдати шкоди захищеним інтересам. До захищених інтересів відносяться: секретні перемовини уряду або органів, наділених владними повноваженнями, національна безпека, зовнішні відносини, грошова політика, державна безпека та громадський порядок, процесуальні дії, особисті справи або документи, які стосуються особистого життя, документи, що стосуються порушення податкових або митних правил чи державних секретів. Право доступу не поширюється на проекти документів та на документи, які носять підготовчий характер до тих пір, поки вони не були схвалені.

Закон регулює дві групи документів з обмеженим доступом. Перша група містить винятки з метою захисту публічних інтересів та забороняє обіг документів, оприлюднення яких може завдати шкоди публічним інтересам. Друга група стосується доступу до нормативних документів, розкриття яких може завдати шкоди при-ватності особистого життя, медичним секретам, комерційним та промисловим таємницям. Згідно із положеннями закону лише зацікавлені особи мають право доступу до цієї категорії документів. У Франції, як і інших західноєвропейських країнах, злочином вважається опублікування секретної інформації, що стосується оборони країни, а спеціальне виправдання на основі суспільного інтересу для преси або службовців, що надали таку інформацію, відсутнє.

У Франції спеціальна комісія (Комісія щодо доступу до адміністративних документів) розглядає скарги та суперечки з приводу доступу до інформації.

У цій країні добре розвинутий криптографічний захист інформації, який регулюють кілька важливих документів: Декрет № 99-199 від 19 березня 1999 року, Декрет № 99-200 від 19 березня 1999 року. Крім того, існує багато інших нормативно-правових актів, які регулюють цю галузь, зокрема і нормативних актів ЄС.

Зазначимо, що достатньо серйозно розроблені в цій країні питання захисту персональних даних і система служб безпеки на підприємствах.

Інститут уповноваженого з питань захисту персональних даних у цій країні функціонує на основі закону «Про інформатику, картотеки

та свободи» від 06.01.1978 р. Відповідно до цього закону створена Національна комісія з інформатики контролює електронні бази даних. Ця комісія є незалежним адміністративним органом. Складається вона із 17 чоловік: двох депутатів і двох сенаторів, яких обирає парламент; двох учасників економічної і соціальної ради, яких обирають її зборами; двох членів рахункової палати; двох членів Касаційного суду; двох фахівців з інформатики; трьох фахівців, призначених Радою Міністрів. Обраний склад комісії виконує свої обов’язки протягом 5 років.

До обов’язків комісії належить:

-    інформування громадськості про вплив інформатики на приватне життя, забезпечення прав людини та основних свобод і функціонування демократичних інститутів;

-    внесення Уряду пропозицій щодо захисту персональних даних за умов розвитку інформатики;

-    прийманя регламентних актів (постанов) і видання правил про захист персональних даних у передбачених Законом випадках;

-    приймання заяв та скарг;

-    попередження порушників та сповіщення органів прокуратури про порушення Закону;

-    консультування приватних і юридичних осіб, органів державної влади та судових органів.

Комісія може вимагати від голів апеляційних і адміністративних судів відрядження у їх розпорядження відповідальних осіб для проведення під їх керівництвом нагляду чи перевірки. Особи, що викликані в Комісію для роз’яснень чи дачі свідчень, звільняються від дотримання таємниці. Міністри, посадові особи, керівники публічних і приватних організацій (підприємств) повинні всебічно сприяти роботі комісії.

Рішенням прем’єр-міністра при комісії призначається урядовий комісар із захисту персональних даних. Він має право брати участь у засіданнях Комісії і може в 10-денний строк призначити повторне слухання з будь-якого питання, що раніше було винесено на розгляд комісії. Комісар очолює Французьке агентство з питань захисту персональних даних.

Основними організаційно-правовими елементами системи захисту персональних даних у Франції є:

-    ведення Національного реєстру ідентифікації фізичних осіб (Декрет від 22.01.1981 р. № 82-103). Ведення реєстру здійснює Національний інститут статистики і економічних досліджень. У реєстр вносять такі відомості: прізвище, ім’я; стать, дата і місце народження; дата і місце смерті; номер свідоцтва про народження і смерть; прізвище найближчого родича по чоловічій лінії для ідентифікації однофамільців. Крім того, до реєстру вносять номер, що присвоєно кожній особі, позначки про зміни у цивільному стані особи;

-    видача дозволу на доступ до національного реєстру і обробки персональних даних (ст. 18, 19 Закону 1978 p.), на передачу даних за кордон (ст. 24 Закону 1978 p.);

-    нагляд і контроль за дотриманням захисту персональних даних, (ст. 21 Закону 1978 p.);

-    видача розпорядження про порушення, попередження і звернення до прокуратури, оскарження неправомірних дій у суді (ст. 21, 35 Закону 1978 p.).

Зазначимо, що особи, які винні у порушенні питань захисту персональних даних, притягуються до адміністративної (Декрет від 23.12. 1981 р. № 81-1142) та кримінальної (розділ 4 Закону 1978 р.) відповідальності.

Щороку законодавство Франції з питань захисту інформації удосконалюється, особливо на початку 21 сторіччя після створення ЄС, оскільки законодавство з питань захисту інформації поширюється на усі країни ЄС, у тому числі й Францію.

11.3. НІМЕЧЧИНА

11.3.1. Організація системи захисту інформації в Німеччині.

Питання захисту інформації набувають нового значення і стають дедалі більш актуальними в Німеччині. Зазначимо, що першочерговими стають проблеми захисту різних видів інформації з обмеженим доступом: персональних даних, комерційної, службової, державної таємниці тощо.

Розв’язати проблему захисту всіх видів інформації у наш час неможливо без допомоги й координації держави. Вважаємо, що саме держава повинна створити й постійно вдосконалювати єдину сис

тему органів із захисту інформації, до компетенції яких входив би як сам процес захисту інформації, так і надання допомоги в цьому приватним та юридичним особам.

Більше того, потрібні структури, які б займалися тестуванням, стандартизацією та сертифікацією засобів забезпечення безпеки всіх видів інформації з обмеженим доступом. У переважній більшості країн Західної Європи налагоджена чітка система захисту інформації. Деякі держави досягли в цьому напрямку більшого успіху, інші - меншого. У багатьох із них в організації системи захисту інформації є унікальні, нікому більше не притаманні риси.

В українській історіографії історії захисту інформації зазначене питання досліджене недостатньо, з огляду на те, що система захисту інформації з обмеженим доступом у нашій державі перебуває на етапі становлення, а її дослідники - в стані активного наукового пошуку. Система захисту інформації у провідних країн світу, зокрема в Німеччині потребує широкого вивчення, оскільки саме тут накопичено великий досвід з окреслених нами питань.

Німеччина - одна з найбільш розвинутих країн Західної Європи в галузі інформаційної безпеки. Ця країна має розвинуту структуру органів, які займаються захистом різних видів інформації з обмеженим доступом. З самого початку створення цієї системи захисту інформації в Німеччині увага була направлена на захист від промислового шпигунства й охорону державних секретів. Характерною особливістю для цієї країни є те, що установи, які вперше займалися окресленими питаннями, почали створюватися ще в XIX столітті. Наступним етапом у становленні німецької системи захисту інформації став початок XX століття. Адже відомо, що саме в Німеччині в 1914 - 1918 роках під час Першої світової війни, особливо в армії, була достатньо сильною і передовою на той час система криптографічного захисту інформації, що значною мірою сприяло перемозі на східному фронті. Зазначимо, що до Першої світової війни тільки Франція та Австро-Угорщина мали свої дешифрувальні органи. Створення при Генеральному штабі Австро-Угорської армії в 1911 році криптографічного бюро на чолі з капітаном Андрашем Фіглем було значним кроком вперед на шляху криптографічного захисту інформації в армії.

Відомо, що поразка російських армій під керівництвом генерала Ранненкампфа та генерала Самсонова біля Мазурських озер була ви

кликана браком криптосистем у російській армії і наявністю їх в армії німецького блоку. Саме це дало змогу німцям вперше в історії отримати перемогу в битві, на результат якої переважним чином вплинули їх досягнення в галузі криптографії. Про це писав Гофман, один із розробників цієї операції в книзі «Війна втрачених можливостей»: «Російськарадіостанція передала наказ у незашифрованому вигляді, і ми перехопили його. Це був перший з низки інших численних наказів, що передавалися у росіян на перших порах з неймовірною легковажністю... Така легковажність дуже полегшила нам ведення війни на сході, іноді лише завдяки цьому і можна було проводити операції». Більшість повідомлень та зашифрованих відомостей російських військових, які перехоплювали німці, дуже швидко дешифровувалися.

Таким чином, точне розшифрування російських криптограм дало змогу країнам німецького союзу час від часу вживати таких заходів, які впливали на результат військових операцій.

Із середини XX століття Німеччина багато уваги приділяла захисту такого виду інформації, як персональні дані. В 1970 році прийнято перший у світі нормативний акт, який регулював питання захисту персональних даних. Цей нормативний акт був запропонований федеральною землею Гесен, її ініціативу через деякий час підтримали й інші федеральні землі. Земельний уряд Гесен розробив законопроект про захист даних у галузі адміністративного управління. Закон «Про захист даних» передбачав два основних завдання: по-перше, попередити втручання у приватну сферу громадян Німеччини за допомогою нової інформаційної техніки, а по-друге, не допустити змін визначених конституцією країни розподілу повноважень у зв’язку з виникненням «інформаційних переваг» виконавчих органів влади перед парламентськими органами. Федеральний закон у цій сфері діє з 1977 року.

Із цього ж року громадяни Німеччини з приводу розголошення своїх персональних даних мають право самостійно приймати рішення, а захист їх прав з цього питання здійснює незалежний уповноважений із захисту персональних даних, якого обирають у Ландтазі.

У наш час захист персональних даних у країні здійснюється у відповідності до положень Федерального закону «Про подальший розвиток обробки і захисту даних» від 20.12.1990 р.

Відповідно до редакції цього Закону, персональні дані перебувають під захистом тільки тоді, коли вони застосовуються у приватному житті й виконують певну громадську чи економічну функцію життєдіяльності. Зовнішній контроль за забезпеченням захисту персональних даних здійснює Федеральний уповноважений із захисту персональних даних, якого обирає Бундестаг Німеччини. Бундестаг обирає Федерального уповноваженого із захисту персональних даних терміном на 5 років, який призначається на посаду Президентом. Він нікому не підпорядковується, а до його компетенції належить перевірка особистих скарг громадян про незаконне використання їхніх особистих даних федеральними державними установами й правоохоронними органами. Зазначимо, що інститут уповноваженого є незалежним від усіх державних органів. Таким чином, незалежність уповноважених - це гарантія свобод громадян і надійний захист від протиправних дій з боку держави. За організаційне забезпечення його діяльності відповідає Міністр внутрішніх справ, саме він здійснює посадовий нагляд за його діяльністю.

На нижчому рівні, тобто на підприємствах, де працюють громадяни, також здійснюється захист їхніх персональних даних. Навіть на маленьких підприємствах, де працює п’ять працівників також вводиться посада уповноваженого із захисту персональних даних (§ 36 Закону 1990 p.). Крім того, в Німеччині забороняється збирання персональних даних громадян.

Отже, в Німеччині захист персональних даних не лише добре визначений законодавством, а й реально забезпечується в практичній діяльності та житті. Німецьке законодавство з питань захисту персональних даних базується на положеннях, які випливають із принципу інформаційного самовизначення. Тому кожний громадянин сам розпоряджається своїми персональними даними. Якщо в інтересах держави він повинен відкривати цю інформацію, то питання державних установ до нього повинні обмежуватися необхідним мінімумом, наприклад, сплата податків. Використання персональних даних громадян у Німеччині заборонене. Персональні дані про громадян дозволяється збирати і використовувати тільки в рамках чітко окреслених законом цілей.

Основними організаційно-правовими елементами системи захисту персональних даний у цій країні є:

-    ведення реєстру файлів (§ 26 Закону 1990 р.) і баз персональних даних (§ 32 Закону 1990 р.) щодо державних і недержавних структур;

-    ведення переліку пристроїв і нагляд за застосуванням програм обробки персональних даних (§ 18 Закону 1990 p.);

-    здійснення контролю (перевірки) діяльності з персональних даних у різних організаціях (§ 24, 38 Закону 1990 p.), оскарження порушень щодо положень Закону, заява протесту на незаконні дії (§ 25, 38 Закону 1990 p.). Положенням § 42 Закону

1990 р. встановлено вимоги щодо призначення уповноважених із захисту даних у федеральних радіомовних організаціях, які діють від імені Федерального уповноваженого країни.

Багато уваги приділено в Німеччині й технічному захисту інформації. Зокрема, в інтересах інформаційної безпеки урядом Німеччини в 1993 році створено Федеральне відомство із забезпечення безпеки у сфері інформаційної техніки. До компетенції цього відомства відносяться, крім технічного захисту інформації, ще й консультації громадян із питань технічного захисту інформації, а також сертифікація та стандартизація засобів безпеки. Крім того, це відомство займається пропагандою необхідності здійснювати захист інформації на підприємствах.

Слід зазначити, що в наш час кожне підприємство дбає про захист усіх видів інформації. З метою захисту інформації, яка циркулює на підприємстві, призначається уповноважений із її захисту. В його обов'язок входить фахове протистояння всім злочинам у комп’ютерній сфері, а також співробітництво із правоохоронними органам, до компетенції яких входить забезпечення захисту цих питань. Природно, що на великих підприємствах в уповноваженого із захисту інформації є велика група співробітників, які допомагають йому виконувати покладені на нього функції захисту інформації.

У жовтні 1997 року в Німеччині був прийнятий Акт захисту інформації в телекомунікаціях (Teleservices Data Protection Act) (TDPA). TDPA є частиною прийнятих положень Федерального законодавства Німеччини щодо регулювання умов інформації та комунікаційних послуг. Відповідно до загальних принципів TDPA, які містяться в статті 2 Закону «Про мультизасоби інформації» (Multimedia Law), збирання, обробка та використання інформації

дозволяється лише у випадках, коли це дозволено законом або здійснюється за згодою користувача обслуговування. Інформація може бути лише зібрана, оброблена або використана окремо для різних послуг, яких потребує один і той самий користувач. Згода користувача не може бути умовою для надання послуг. Інформація за договором може бути зібрана, доопрацьована та використана в тому обсязі, який є необхідним для виконання договору. Персональні дані та дані бухгалтерського обліку не повинні передаватися третім особам. Однак деякі із зазначених вище типів даних можуть бути передані для певної мети обслуговування постачальників від користувачів, через яких здійснено доступ до послуг. Персональні дані та дані бухгалтерського обліку повинні бути знищені негайно після використання, як тільки потреба в таких даних відпаде. Кожен постачальник повинен запропонувати анонімне використання послуг та їх відкриту оплату. Він також повинен вжити заходів для того, аби гарантувати, що інформація використовується відповідно до правил. Крім того, користувач має бути проінформованим стосовно типу, можливостей, місця та мети збирання, оброблення та використання його даних, і він також повинен мати можливість перервати зв’язок у будь-який час.

Вище вже зазначено, щ<4 Німеччина на початку XX століття захопила лідерство у сфері криптографічного захисту інформації. У 80 - 90-х роках XX ст. Німеччина створювала противагу американським спробам із впровадження систем депонування ключів і міжнародних обмежень на крипто. Ця країна відіграла помітну роль у створенні в 1997 році документа ЄС з криптографії та цифрового підпису. У червні 1999 року міністр економіки і технології проголосив нову політику Німеччини в галузі криптографії. Ця політика полягала в тому, що федеральний уряд активно підтримує поширення криптографічних засобів захисту інформації. Крім того, він підтримує поширення серед громадян Німеччини, приватних підприємців і працівників місцевого управління знань із питань безпеки інформації. Федеральний уряд Німеччини підтримує німецьких програмістів, які створюють надійні криптографічні системи захисту інформації.

Традиційно в Німеччині склалися недержавна та державна системи захисту інформації. Недержавна система захисту інформації

покладена на підприємства і стосується переважно захисту конфіденційної інформації, яка пов’язана з комерційною таємницею. Захистом держаних секретів займається держава.

У Німеччині немає централізованого порядку визнання права на виробничі секрети. У низці положень законів поряд з виробничими таємницями наводяться комерційні та ділові секрети. При цьому фахівці вважають, що між цими видами (виробничими, діловими, комерційними секретами) є тільки термінологічна, а не юридична різниця. Саме тому на підприємствах створюються служби безпеки, які займаються організацією захисту комерційної таємниці та протистоять промисловому шпигунству.

Захисту державних секретів у Німеччині приділено особливу увагу. Ще у 1994 році був прийнятий Закон «Про перевірку безпеки», на підставі якого Міністерство внутрішніх справ розробило загальну інструкцію, яка визначила умови і методи перевірки громадян, які мають доступ до секретних документів. Дією інструкцією керуються уповноважені із захисту таємниці та співробітники, яким доручено перевірку секрегоносіїв, а також співробітники федерального відомства із захисту конституції.

Цей нормативний акт визначає, що секретна інформація - це факти, вироби і відомості незалежно від форми їх подання, які в державних інтересах повинні зберігатися в таємниці і яким державним органом або за його дорученням наданий ступінь секретності, що відповідає необхідному рівню захисту. З метою збереження інформації в секреті їй надаються грифи: «цілком таємно», якщо ознайомлення з нею неуповноваженої особи може загрожувати існуванню або життєво важливим інтересам Німеччини чи однієї з її земель; «таємно»-, якщо ознайомлення з нею не уповноваженої особи може загрожувати безпеці держави або однієї з її земель чи завдати їхнім інтересам великої шкоди; «конфіденційно», якщо ознайомлення з нею неуповноваженої особи може завдати шкоди інтересам держави або однієї з її земель; «для службового користування», якщо ознайомлення з нею неуповноваженої особи може мати негативні наслідки для держави або однієї з її земель.

Для законодавства Німеччини характерна детальна розробленість системи понять різних видів таємниць, чіткі формулювання їх визначень у федеральному законодавстві. Так, відповідно до За

кону «Про умови і процедури перевірки благонадійності» у Німеччині (1994 р.) секретною інформацією є факти, вироби та відомості незалежно від форми їх представлення, які в державних інтересах повинні зберігатися в таємниці та яким наданий державним органом чи за його дорученням ступінь секретності, котрий відповідає необхідному рівню захисту: «цілком таємно», «таємно», «конфіденційно» чи «для службового користування».

До системи секретної інформації Німеччини входить державна таємниця (відомості з грифом «цілком таємно» і «таємно») та відомча таємниця (відомості з грифом «конфіденційно» і «для службового користування»), охорона яких, на відміну від інших видів таємниць, що становлять секретну сферу приватних осіб, зумовлена інтересами зовнішньої безпеки держави.

У Кримінальному кодексі Німеччини передбачені норми, які регулюють питання покарання в разі розголошення державної таємниці (§ 93, § 94, § 95, § 97 КК) та розголошення відомчої таємниці (§ 353 Ь).

Відповідно до Федерального відомчого закону (1953) відомчою таємницею є «факти або відомості, збереження яких у таємниці обумовлене приписом закону чи постанови державного органу, і які доступні лише обмеженому колу осіб».

Під «обмеженим колом Лсіб» слід розуміти безпосередніх «се-кретоносіїв», тобто таких осіб, яким таємниця була довірена чи стала відома по службі. До них належать переважно службовці державних органів. У кримінальному законодавстві Німеччини встановлена диференційована відповідальність за розголошення секретної інформації залежно від форми вини.

Зазначимо, що в перевірці благонадійності відповідно до нормативно-правових актів бере участь федеральне відомство із захисту конституції, а у сфері повноважень міністерства оборони - військова контррозвідка відповідно до закону про військову контррозвідку. Федеральна розвідувальна служба, федеральне відомство із захисту конституції та військова контррозвідка здійснюють перевірку благонадійності своїх кандидатів і співробітників самостійно.

Із метою належного відбору громадян та забезпечення безпеки проводиться: проста перевірка; розширена перевірка благонадійності; розширена перевірка благонадійності з аналізом відомостей.

У кінці 90-х років XX століття в Німеччині значно посилено поліцейський і контррозвідувальний режим стосовно іноземних громадян, особливо з пострадянських країн, які перебували там по лінії торгово-економічних і науково-технічних зв’язків. За ними здійснювалося спостереження як у службовий, так і позаслужбовий час. Слід зазначити, що спецслужби Німеччини активно взаємодіють із прикордонними військами, поліцейськими службами федеральних земель, митними органами, спілками підприємців, а також з іншими установами та відомствами, які відповідно до законодавства держави зобов’язані надавати відомості про іноземних громадян. Крім того, вони сприяли через Федеральний союз німецької промисловості боротьбі із промисловим шпигунством. Також спецслужби Німеччини проводять контррозвідувальні заходи у великих промислових фірмах, що підтримують ділові зв’язки з економічно розвинутими державами. Персонал фірм підлягає так званій «триступеневій» системі перевірки, яка раніше застосовувалася тільки до державних службовців. Саме тому збираються відомості не лише про особу, яка перевіряється, а й про її родичів.

Із грудня 1989 року в Німеччині було прийняте нове положення про порядок виїзду секретоносіїв за кордон. Згідно з цим документом усі особи, які мали доступ до секретної інформації, зобов’язані заздалегідь повідомляти співробітників, відповідальних за забезпечення режиму секретності, про свій намір відвідати іноземну державу.

Чітко врегульовано у цій країні питання доступу до інформації. Конституційне право доступу до інформації закріплене положеннями нормативних актів, що гарантують свободу вираження поглядів та свободу преси. У Німеччині тільки представники засобів масової інформації мають право доступу до урядової інформації, що гарантовано п. 2 статті 5 Конституції. Право на інформацію, яка належить урядам земель, гарантовано законодавчими актами земель про свободу преси (наприклад, Закон Землі Бранденбург, Закон про свободу інформації Землі Берлін).

У Кримінальному кодексі та у законах про підприємства й захист від недобросовісної конкуренції закріплені основоположні принципи забезпечення прав власників такої інформації.

Чималий законодавчий досвід у Німеччині накопичено у регламентуванні відносин у сфері захисту комерційної таємниці.

Відповідно до п. 17 Закону ФРН «Про заборону несумлінної конкуренції» навмисне розголошення ділових секретів фірми загрожує позбавленням волі до 3-х років і грошовим штрафом або одним з цих покарань. Карається той, хто, будучи службовцем або робітником будь-якого підприємства або фірми, повідомить, не маючи на те права, з метою конкуренції, в корисливих цілях або з наміром завдати шкоди власнику підприємства, фірми, який-небудь секрет фірми або секрет підприємства, довірений йому чи ставший йому доступним у силу службових відносин протягом терміну дії цих службових відносин. Карається також той, хто з метою конкуренції, в корисливих цілях використовує або повідомить кому-не-будь, не маючи на те права, секрет фірми або підприємства, відомості про який він одержав з повідомлень, наведених вище, або які він одержав в результаті протизаконної дії або дії, яка порушує загальноприйняті норми поведінки. Якщо винна особа, продаючи відомості, усвідомлює, що секретні дані повинні бути використані за кордоном, або якщо вона використовує їх сама за кордоном, то вона може бути засуджена до позбавлення волі на термін до 5-ти років. Розпорядження відповідно до вищевикладеного мають силу також у тому випадку, якщо одержувач повідомлення, хоча при цьому винній особі невідомо, вже знає секретні дані або має право ознайомитися з ними.

Відповідно до п. 18 зазначеного Закону позбавленням волі до 2-х років і грошовим штрафом або одним з цих покарань карається той, хто, не маючи на те права, використовує з метою конкуренції або в корисливих цілях зразки або інструкції технічного характеру, зокрема, креслення, шаблони, рецепти, довірені йому в силу ділових відносин, або якщо він повідомить кому-небудь відомості про це.

Таким чином, у Німеччині відносини у сфері захисту комерційної таємниці регулюються правилами, включеними до законів, які відносяться до різних законодавчих галузей.

У цій країні відмова в отриманні інформації також є предметом адміністративного контролю вищого органу самої адміністрації. Рішення цього органу можна оскаржити в суді. Наявність адміністративного контролю, що здійснюється спеціально створеним для цього органом, корисна тим, що може полегшити процес розгляду скарг, хоча адміністративна затримка лишається проблемою в країні.

Перші у світі нормативи із захисту даних, що мають юридичну силу для багатьох держав, були прийняті країнами-цартнерами Європейського союзу (ЄС). Це дозволило забезпечити однаковий підхід до використання даних у рамках внутрішнього європейського ринку, тому кожен громадянин ЄС, кожна установа та кожне підприємство можуть бути впевнені, що у всьому Євросоюзі діють однакові норми захисту даних.

Відповідна Директива 95/46/EG, прийнята в жовтні 1995 року, вимагала включити ці норми в національне законодавство протягом трьох років. Деякі країни, включаючи Німеччину, не змогли дотримати цього терміну. Проте норми, що регулюють взаємини між громадянином і державою, вже зараз мають пряму дію, без участі національних законодавців, тому кожен громадянин може безпосередньо посилатися на права, які чітко визначені й гарантовані в Директиві ЄС. Це насамперед стосується принципової заборони на обробку так званої «чутливої» інформації. При цьому маються на увазі всі відомості, що стосуються расового й етнічного походження, політичних і світоглядних поглядів, здоров’я і сексуального життя.

Так, наприклад, відомості про стан здоров’я працівника не можуть без його згоди бути передані роботодавцеві. Крім того, директива набагато ширше трактує право громадян знати про те, як використовуються їхні особисті дані, і оскаржити їхнє неправомірне використання, ніж це гарантує Федеральний закон про захист даних

1991 року. Громадянин, наприклад, має право знати, які державні установи мають доступ до його особистих даних.

Захисту підлягають тепер також тимчасові банки даних. Крім того, директива зобов’язує національного законодавця підсилити захист особистих даних громадян від їхнього використання приватними установами, насамперед приватними комерційними фірмами. Якщо хтось збирає особисті дані громадянина, то він зобов’язаний сповістити його при цьому та повідомити, що відбудеться далі із цією інформацією.

В інтересах інформаційної безпеки Федеральний уряд ще в 1991 році створив Федеральне відомство із забезпечення безпеки в сфері інформаційної техніки, що, крім усього іншого, повинне надавати консультативну допомогу з технічних питань Федеральному упо

вноваженому по захисту даних. Федеральне відомство повинне також оцінювати безпеку пропонованих на ринку інформаційних систем і, якщо буде потреба, видавати їм сертифікати безпеки, які можуть ефективно використатися в рекламних цілях.

Завдання для самостійної роботи

1.    Дайте характеристику нормативно-правовому забезпеченню захисту інформації у Великій Британії.

2.    Розкрийте нормативно-правове забезпечення охорони державної таємниці у Великій Британії.

3.    Визначте органи захисту інформації у Великій Британії.

4.    Охарактеризуйте нормативно-правове забезпечення охорони державної таємниці у Франції.

5.    Опишіть питання нормативно-правового забезпечення захисту інформації у Франції.

6.    Розкрийте особливості організації системи захисту інформації в Німеччині.

 

Це матеріал з підручника Історія захисту інформації в Україні та провідних країнах світу" Гуз А. М.

 

Категорія: Правознавство

Автор: admin от 17-09-2015, 10:58, посмотрело: 2586