Нормативно-правове регулювання забезпечення інформаційної безпеки Франції

Базовим нормативним актом, в якому визначаються стратегічні напрями державної політики Франції у сфері забезпечення безпеки, є Біла книга оборони та національної безпеки від 2008 р. В ній серед найбільш ймовірних загроз територіям Франції та європейській спільноті (тероризм, використання балістичних ракет, організована злочинність, ризики природного характеру та ускладнення епідеміологічної ситуації у великих містах, прихована іміграція) названі: масштабні атаки на інформаційні системи; шпіонаж та стратегічний вплив.

Так, характеризуючи загрозу масштабних атак на інформаційні системи, зазначається, що останні на сьогодні пронизують основні системоутворювальні ланки економічної та суспільної життєдіяльності. Зокрема, залежність від інформаційних систем інженерних комунікацій, транспортної інфраструктури, продовольчого забезпечення і, навіть, управління обороною, робить сучасне суспільство та його безпеку вразливими до випадкових пошкоджень та цілеспрямованих атак, які здійснюються через обчислювальні мережі.

Загроза шпигування та стратегічного впливу обгрунтовується поширенням застосування у міждержавних відносинах засобів «м'якої сили», маніпулювання свідомістю через ЗМІ та Інтернет, посяганнями на науковий, економічний, оборонний потенціал Франції та її територій, небезпекою культурної експансії.

Основними шляхами протидії зазначеним загрозам у документі визначено:

• — взаємодію у питаннях протидії атакам на інформаційні системи, насамперед в межах країн-членів ЄС;
• — проведення як відкритих так і прихованих активних заходів протидії проявам агресії в інформаційних мережах;
• — підготовку кібервійськ на професійній основі.

Слід зауважити, що загрози, пов’язані з використанням інформаційних систем та засобами інформаційного впливу, є особливістю Білої книги оборони та національної безпеки 2008 р. Крім того, вперше упродовж століття Франція базує свою досить революційну доктрину національної безпеки не на гіпотетичному загальному військовому протистоянні в Європі, а поєднуючи оборону із забезпеченням власне національної безпеки. Так, стрижнем Білої книги 1972 р. було «стримування», 1994 р. — «проектування сили», у документі 2008 р. — це «знання й прогнозування», що являє собою нову стратегічну функцію, пріоритетне завдання у сфері безпеки та оборони.

На виконання загальних напрямів забезпечення безпеки, визначених у Білій книзі безпеки і оборони щодо інформаційної сфери, розроблено програмний нормативний акт — Стратегію Франції щодо безпеки та оборони інформаційних систем. У загальнодоступній частині цього нормативного документу визначені чотири основні завдання, спрямовані на ЗІБ:

• — бути світовим лідером у сфері кіберзахисту — входити в обмежене число країн, які домінують у цій сфері;
• — гарантувати свободу рішень Франції у питаннях захисту інформаційного суверенітету — забезпечити прийняття рішень органами влади на підставі неупередженої захищеної інформації;
• — зміцнити кібербезпеку національної критичної інфраструктури;
• — забезпечити безпеку громадян та бізнесу у кіберпросторі.

Для виконання цих завдань зусилля держави мають бути спрямовані на: нормативний франція державний.

• — аналіз та запобігання — система кібербезпеки повинна працювати на упередження;
• — виявлення, оповіщення, протидію — постійний моніторинг функціонування інформаційних систем та застосування адекватних заходів протидії у випадку атак;
• — примноження наукового, технічного, промислового та кадрового потенціалу у сфері ЗІБ;
• — піклування про державні інформаційні системи та об'єкти критичної інфраструктури;
• — удосконалення нормативно-правового забезпечення відповідно до нових технологічних розробок, вимог безпеки та способів використання інформаційних технологій;
• — розвиток міжнародного співробітництва з питань протидії кіберзлочинності та кібертероризму;
• — інформування суспільства про необхідність застосування заходів безпеки та методи захисту інформаційних систем.

На галузевому рівні правове регулювання інформаційної сфери та нормативне ЗІБ у Франції здійснюється низкою декретів, законів та кодексів національного, європейського та міжнародного законодавства, спрямованих на захист:

• — інформації з обмеженим доступом;
• — персональних даних, обробка яких здійснюється засобами обчислювальної техніки;
• — критичної інфраструктури від кібератак;
• — інформаційно-телекомунікаційних систем;
• — інтелектуальної власності в Інтернеті;
• — національного медіапростору;
• — психологічної недоторканості особистості тощо.

Так, захист інформації, яка містить таємницю національної оборони (аналог державної таємниці в Україні), гарантується кримінальним кодексом, а персональної і комерційної таємниці - кримінальним, трудовим і цивільним кодексами. Зокрема, ст. 413−9 Кримінального кодексу Франції визначає, що засоби, об'єкти, документи, відомості, обчислювальні мережі, комп’ютерні дані або картотеки, розголошення або доступ до яких завдають шкоди національній обороні або можуть призвести до витоку таємниці національної оборони, підлягають класифікації, яка встановлює спеціальний порядок поширення та доступу до них. Фактично ця стаття нормативно визначає поняття інформації з обмеженим доступом (information classi flee).

Більш детально тлумачення поняття таємниці національної оборони надається у декреті № 98−608 від 17 липня 1998 року. В цьому нормативному акті зазначається, що інформація, яка підлягає захисту — відомості, засоби, об'єкти, документи, комп’ютерні дані або картотеки, які містять таємницю національної оборони — залежно від ступеню секретності класифікується за трьома рівнями:

• 1. Особливо таємна у сфері оборони (гриф «Tres Secret-Defense»);
• 2. Таємна у сфері оборони (гриф «Secret-D6fense»);
• 3. Конфіденційна у сфері оборони (гриф «Confidentiel-Defense»),

Критерії віднесення інформації до секретної та особливо секретної.

розробляються урядом та затверджуються прем'єр-міністром. Відповідно до цих критеріїв міністри у підпорядкованих їм відомствах уточнюють порядок класифікації інформації, яка містить таємницю національної оборони, та забезпечують організацію захисту такої інформації.

Кримінальним кодексом Франції передбачена відповідальність за посягання на таємницю національної оборони (ст.ст. 413−9 — 413−12); передачу іноземній державі інформації, використання, поширення та збирання якої може нанести шкоду національним інтересам (ст. ст. 411−6 — 411−9), а також надання органам влади Франції в інтересах іноземних держав недостовірної інформації, яка може нанести шкоду національним інтересам (ст. 411−10).

Організація захисту персональних даних у Франції здійснюється відповідно до низки законодавчих актів, зокрема Закону № 78−22 від 10 січня 1978 року «Про інформацію та захист споживачів у сфері певних кредитних операцій», Закону № 82−890 від 19 жовтня 1982 року «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних» (в Україні ратифікована лише у 2010 р.), Закону № 2004;801 від 6 серпня 2004 року «Про захист фізичних осіб у зв’язку із обробкою персональних даних та внесення змін до Закону № 78−17 від 6 січня 1978 року «Про інформатику, картотеки і свободи» .

З питань визначення юридичної відповідальності за правопорушення у сфері захисту персональних даних законодавчий досвід Франції є показовим. З 1992 р. у Кримінальному кодексі з’явилася норма (ст.ст. 226−16 — 226−24), відповідно до якої незаконне використання даних Національного реєстру ідентифікації фізичних осіб тягне за собою покарання у вигляді п’яти років позбавлення волі і виплати штрафу.

З моменту опублікування Білої книги оборони та національної безпеки 2008 року у Франції розпочалося створення єдиної загальнодержавної системи кібербезпеки національної критичної інфраструктури (infrastructures vitales nationales). У Декреті X" 2006;212 від 23 лютого.

2006 року (а на сьогодні і у статтях R. 1332−1 — R. 1332−42 Кодексу оборони — розділ «Заходи безпеки життєво важливого значення») кібербезпека національної критичної інфраструктури розглядається крізь призму безпечного функціонування важливих економічних сфер, що має на меті зміцнення захищеності останніх від уразливостей шляхом аналізу природи загроз. Таким чином, правові засади захисту критичної інфраструктури у Франції грунтуються на управлінні ризиками, моделі загроз, заходах запобігання, широкому інформуванні населення про методи і заходи організації захисту інформаційних систем.

Цей Декрет також визначає, які сфери вважаються критичними, життєво важливими для соціальних і економічних процесів та інфраструктури:

• — держава: громадянська діяльність, юриспруденція, військова діяльність (з оборонною промисловістю включно);
• — суспільство: продукти харчування, водозабезпечення, здоров’я;
• — економіка: енергетика (атомна включно), фінанси, транспорт;
• — технології: комунікаційні технологи та мовлення, промисловість, космічна галузь, наукові дослідження.

З огляду на високий рівень інформатизації та залежність суспільства від інформаційно-телекомунікаційних систем, об'єднаних в обчислювальні мережі, діяльність, пов’язана з використанням інтернету у Франції, знаходиться під державним контролем та регулюється низкою нормативно-правових актів.

Основними напрямками правового регулювання інтернет-діяльності є:

• — забезпечення свободи комунікації онлайн;
• — визначення обов’язків постачальників послуг (зокрема, власників та посередників);
• — запровадження захисту інтелектуальної власності в режимі онлайн;
• — захист від шкідливого контенту;
• — захист персональних даних;
• — забезпечення правового статусу доменів;
• — забезпечення вільного доступу до масивів інформації в Інтернеті для масового використання.

Зокрема, Постановою 2005;1516 від 8 грудня 2005 року «Про електронний обмін між користувачами та органами влади та між органами влади» встановлюються зобов’язання сторін щодо безпечної комунікації через інтернет, вимоги щодо захисту інформації, використання електронного підпису тощо.

Крім того, у Франції діють закони № 91−646 від 10 липня 1991 року «Про таємницю листування у телекомунікаціях», № 86−1067 від 30 вересня 1986 року «Про свободу комунікації», Кодекс поштового зв’язку та телекомунікацій, якими регулюється діяльність у телекомунікаційній сфері. Останнім визначаються переліки мереж та послуг, довідників та інформаційних сервісів, вимоги щодо захисту приватного життя при використанні телекомунікаційних сервісів, порядок об'єднання мереж та надання до них доступу, розподілу радіочастот, адресного простору, регулювання електронної комунікації, повноваження та функції суб'єктів телекомунікаційної сфери, юридична відповідальність за порушення встановлених правил надання та отримання телекомунікаційних послуг тощо.

На боротьбу зі шкідливим контентом в Інтернеті спрямовані спеціальні розділи Закону № 2011;267 від 14 березня 2011 року «Про напрямки та програму забезпечення внутрішньої безпеки» (LOPPSI 2). Відповідно до цього Закону поліційні підрозділи, на які покладено завдання боротьби з кіберзлочинністю, мають досить широкі повноваження. Зокрема, вони можуть вимагати від провайдерів блокування сайтів з незаконним контентом (дитячою порнографією, пропагандою тероризму тощо) без рішення суду. З дозволу прокуратури закон LOPPSI 2 дозволяє приховано втручатися в комп’ютери користувачів для отримання інформації під час розслідування таких тяжких злочинів, як торгівля зброєю, організована торгівля наркотиками, відмивання брудних грошей та інших.

Загальні положення, якими регулюються питання захисту інтелектуальної власності — авторських прав, суміжних прав та прав виробників баз даних, викладені у Кодексі інтелектуальної власності Франції. Цим кодексом визначаються поняття літературної та художньої власності, власників прав, різновиди прав (авторські, особисті немайнові, економічні), терміни захисту, дії з правами, технічні заходи захисту інтелектуальної власності, порядок захисту винаходів і технічних знань, товарних знаків, юридична відповідальність за підробки (плагіат), порядок вирішення судових спорів, пов’язаних з інтелектуальною власністю.

З 2009 року законом № 2009;669 від 12 червня «Про поширення та захист творів мистецтва в Інтернеті» введено в дію механізм захисту інтелектуальної власності в обчислювальних мережах, що отримав назву «правило трьох попереджень». Відповідно до цього Закону визначена урядом приватна компанія здійснює технічними засобами пошук файлообмінних ресурсів та користувачів, які нелегально завантажують файли (програмне забезпечення, мультимедіа тощо), захищені авторським правом. ІР-адреси таких користувачів передаються до спеціального державного органу, що інформує інтернет-провайдерів локального рівня, які зобов’язані надіслати користувачу електронною поштою попередження про незаконність його дій. У випадку якщо користувач, після отримання двох попереджень про незаконне завантаження або перегляд контенту, втретє вчинив аналогічну дію, установчі дані про цього користувача передаються до суду. За рішенням суду користувач, який вчинив зазначені незаконні дії, може бути притягнутий до відповідальності у вигляді позбавлення права використовувати інтернет протягом року, штрафу у розмірі до 30 тис. євро і, навіть, бути ув’язненим терміном до 2 років. Крім того, зазначеним Законом передбачається відповідальність для інтернет-провайдерів, які не відключать порушника від інтернету, у вигляді штрафу у розмірі до 5 тис. євро. Для того, щоб користувачі не мали можливості змінювати провайдерів, створено єдину базу даних, «чорний список» порушників, до якої мають доступ усі провайдери. Регулювання діяльності засобів масової інформації здійснюється відповідно до Закону «Про свободу преси» від 1881 р. Крім того, з 1984 р. діє Закон «Про обмеження концентрації та забезпечення фінансової гласності й плюралізму підприємств преси», існує система державної фінансової підтримки електронних засобів масової інформації без втручання держави у використання виділених нею коштів і в професійну діяльність телерадіоорганізацій. Принциповою є державна політика Франції щодо захисту національної самобутності у медіапросторі: 60% телерадіоефіру має заповнюватися власною аудіовізуальною продукцією, причому 40% з неї має бути франкомовною та трансльованою у прайм-тайм.

За використання друкованих та аудіовізуальних засобів, зокрема засобів масової інформації, для поширення провокаційних закликів, спрямованих проти державної влади, деморалізації армії, оприлюднення інформації, яка містить посягання на особу, судову владу, передбачена кримінальна відповідальність. Французький законодавець у сфері ІБ значною мірою опікується питаннями захисту приватного життя та недоторканості особи, що безпосередньо відображено у Книзі Другій Кримінального кодексу «Про злочини та проступки проти особи». Зокрема, його положеннями передбачена відповідальність за: застосування пристроїв прослуховування (ст. 226−1); розголошення інформації про приватне життя (ст. 226−2); порушення таємниці листування, в тому числі електронного (ст. 226−15); розкриття професійної таємниці (судової, медичної) щодо особи (ст. 226−13). Нова французька стратегія безпеки передбачає посилення ролі Євросоюзу у справах оборони та національної безпеки. З огляду на це, у питаннях нормативного регулювання інформаційної діяльності та ЗІБ, Франція значною мірою спирається на європейське законодавство, зокрема: Директиву Парламенту і Ради ЄС № 95/46 від 24 жовтня 1995 року «Про захист приватних осіб у галузі обробки персональних даних та щодо вільного руху таких даних»; Регламент Парламенту і Ради ЄС № 45/2001 від 18 грудня 2000 року «Про захист фізичних осіб у сфері обробки особистої інформації інституціями і органами Співтовариства та про вільний рух такої інформації», Резолюций Ради ЄС «Про законний моніторинг телекомунікацій» № 329/01 від 17 січня 1995 року.

Законом № 2005;493 від 19 травня 2005 року у Франції ратифіковано Конвенцію Ради Європи «Про кіберзлочинність», відповідно до якої комп’ютерні злочини класифікуються за двома напрямками:

• 1) інформаційні технології як засоби виконання незаконних дій (продажу контрафактних товарів, заборонених ліків, сутенерства, дитячої порнографії, незаконних фінансових махінацій тощо);
• 2) інформація як об'єкт злочину (несанкціонований доступ, порушення цілісності даних, махінації в платіжних системах та ін.).

З огляду на те, що комп’ютерні злочини спричиняють значні фінансові збитки у різних сферах підприємницької діяльності, глава «Про посягання на системи автоматизованої обробки даних», міститься у Книзі Третій Кримінального Кодексу Франції «Про майнові злочини та проступки» .

Закон № 2000;230 від 13 березня 2000 року «Про внесення змін до доказового права відносно інформаційних технологій і відносно цифрового підпису» свідчить про особливу увагу законодавця до проблеми розслідування комп’ютерних злочинів.