У діяльності правоохоронних органів і системах цивільної ідентифікації 6 страница
Особливий інтерес становить можлива інтеграція біометричних і криптографічних технологій, тобто доповнення біометричних технологій криптографічними для однозначної ідентифікації. У доповіді «Біометричне шифрування: позитивна сума технологій» канадських експертів Енн Кавокян і Олексія Стоянова, опублікованому свого часу на сайті інтернет-видання «InterGovWorld», зроблено висновок про те, що інтеграція біометричних і криптографічних технологій відкриває нові перспективи строгої ідентифікації, забезпечення інформаційної безпеки та захисту персональних даних. Автори доповіді розглядають такі два можливі напрямки інтеграції біометрії і криптографії.
З одного боку, інформація щодо біометричних ідентифікаторів містить досить «чутливі» для їх носія дані, які йому конче необхідно надійно захистити, у тому числі й за допомогою технологій шифрування. З іншого боку, тільки застосування біометричного ідентифікатора (відбитка пальця, райдужної оболонки очей або отримання зображення обличчя особи тощо) як унікального криптографічного ключа, що не піддається підробці або розкраданню, дозволяє користувачеві реально контролювати доступ до зашифрованої інформації.
Розвиток цих двох напрямків і дозволяє вести мову про «біометричне шифрування», як іменують результати синтезу двох технологій автори доповіді. На їхню думку, «Біометричне шифрування водночас забезпечує і конфіденційність персональних даних,
і переваги безпеки»**.
Особливе зацікавлення становлять повідомлення з Потсдамського університету, де його фізики-дослідники винайшли метод шифрування даних, який практично неможливо зламати. Цей метод заснований на квантовій криптографії – використанні фотонів при передачі інформації сучасними каналами зв’язку. Технологія квантової криптографії заснована на принципі невизначеності поведінки квантової системи, оскільки неможливо водночас отримати координати і величину імпульсу її найменшої частки-фотона, не можна заміряти один параметр фотона, не спотворивши при цьому інший. Ця властивість у фізиці відома як принцип невизначеності Гейзенберга, який був сформульований ще в 1927 році.
Згідно цього принципу спроба вимірювання взаємозв’язаних параметрів у квантовій системі вносить до неї порушення, і отримана в результаті такого вимірювання інформація визначається стороною, що приймається, як дезінформація. Якщо намагатися щось зробити з фотоном: виміряти поляризацію (тобто напрям обертання) або довжину хвилі (тобто колір), то його стан змінюється. Дві квантові величини не можуть бути виміряні одночасно з необхідною точністю, а вимірювання одного виду поляризації змінює іншу складову. Завдяки цьому стала можлива побудова каналів передачі даних, які повністю захищені від перехоплення та спотворення передавальних даних: одержувач завжди зможе визначити, чи була зроблена спроба перехоплення або спотворення інформації.
За допомогою квантових кодів передавач шифрує повідомлення таким чином, що воно предстає безладним набором символів. Передумовою успішної роботи є те, що відправник і одержувач повинні заздалегідь домовитися про ключ кодування-розкодування. Але необхідно особливо відмітити, що нова система шифрування має один недолік – вона не здатна захистити від шпигунства. «Зрада – найпоширеніший спосіб розкриття шифрів, – відзначає Сет Ллойд, експерт з квантових обчислень з Массачусетського технологічного інституту. – Квантова механіка тут, на жаль, безсила»*.
Саме в цьому випадку й можуть зіграти свою роль як шифруючі-дешифруючі ключі біометричні параметри індивідуумів, що перетворені на електронні шаблони.
У Західній Європі відзначається неухильне зростання інтересу компаній до підвищення рівня інформаційної безпеки. Про це свідчить повсякчасне збільшення відповідних статей витрат у їх бюджетах, а також постійне оновлення ринку засобів і програмних рішень з інформаційної безпеки. Згідно зпроведеним дослідженням, безпека інформаційних технологій (ІТ) все вище піднімається «сходами» корпоративних пріоритетів. За
даними 2007 року 56% компаній в Західній Європі мають намір збільшити загальні
витрати на ІТ у цілому, а 83% вважають, що також збільшаться витрати на захист і безпеку інформаційних технологій. Якщо в 2006 році витрати на інформаційну безпеку (ІБ) складали приблизно 6% від загального бюджету будь-яких установ і підприємств, то в 2008 році витрати за цією ж статтею повинні були досягти близько 11%.
Що стосується ринку програмних ІБ-рішень, то вони за підсумками 2006 року в порівнянні з 2005 роком зросли на 19,1%. З 2006 по 2011 роки експерти очікують зростання на 11,4% щорічно. Необхідно підкреслити, що світова статистика свідчить, що сегмент програмних рішень з інформаційної безпеки зростає значно повільніше за інші ІТ-рішення**.
У країнах СНД і в Україні державні відомства не тільки не поступаються комерційним структурам (крім банківського сегмента економіки) в питанні забезпечення інформаційної безпеки, але використовують навіть більшу кількість різноманітних захисних рішень, що дозволяє захищати дані від несанкціонованого доступу. Одночасно, органи влади не ведуть або не публікують статистичних відомостей щодо крадіжок інформації, тому ситуація з впровадження різних захисних систем значною мірою залежить від проведення централізованої державної політики у цій галузі.
Найбільшу небезпеку на даному етапі практично для всіх державних структур у всіх країнах СНД становить ситуація, коли має місце відсутність національних стандартів з інформаційної безпеки. Причому під стандартами в даному випадку розуміють не тільки нормативні або рекомендаційні акти, а ще і єдине бачення організації системи внутрішньої безпеки. Практично у всіх без винятку країн СНД на сьогодні ще не сформований єдиний державний підхід до вирішення цієї проблеми. Наслідком є те, що не маючи загальноєдиного уявлення про побудову внутрішньої інформаційної безпеки, державним структурам важко планувати свої витрати і заздалегідь виділяти частину бюджету на вирішення проблем захисту інформації. На практиці це дуже ускладнює вибір конкретного типу рішення, оскільки організація вимушена вибирати серед багатьох варіантів рішень, що пропонуються фірмами-постачальниками, кожен з яких має певний позитив, але мало в чому сумісний з аналогічними рішеннями конкурентів.
Необхідно ще раз зазначити, що у цілому державний сектор економіки підходить до проблем внутрішньої безпеки набагато зріліше, ніж недержавні галузі (ще раз наголосимо, що виняток становить лише банківський сектор економіки). Багато в чому це пояснюється тим, що представники державних структур не мають психологічного бар’єра й чітко розуміють, що на сьогодні конче необхідна уніфікація захисних рішень не тільки від зовнішніх, але й від внутрішніх загроз. Єдиний підхід до вирішення проблем внутрішньої інформаційної безпеки конче необхідний. На даний час хоча й практичне вироблення рекомендацій і проводиться, але у цілому цей процес може затягнутися ще на декілька років. Державні структури країн СНД понадусе стурбовані саме внутрішніми загрозами інформаційній безпеці. Інсайдерські ризики (внутрішні загрози) превалюють над зовнішніми погрозами у співвідношенні 6:4 і мають тенденцію до зростання. Найбільшу небезпеку для державних організацій становлять витоки персональних відомостей громадян. Крім того, міністерства та відомства стурбовані халатністю власного персоналу, оскільки зневага до виконання своїх службових обов’язків приводить до навмисного або ненавмисного витоку конфіденційної інформації, а у деяких випадках до її викривлення.
Найефективнішим засобом зміцнення інформаційної безпеки є використан-
ня комплексних захистних рішень, які реалізовані у відповідні програмно-апаратні продукти*.
Нині біометрія є однією з найперспективніших сфер у реалізації рішень з організації необхідного рівня безпеки. На думку експертів, використання унікальних людських характеристик є актуальним на сьогодні рішенням для досягнення приватності, конфіденційності, управління доступом, збереження цілосності інформації та зменшення можливостей її витоку. Біометричні системи, що виключають потребу у паролях і ідентифікаційних картках, привносять додатковий елемент безпеки у роботу установи або підприємства.
В інформаційному співтоваристві біометрія з широким асортиментом інструментарію для управління доступом особливо затребувана сучасними розробниками архітектури безпеки. Біометрика також застосовується для створення такої архітектури безпеки, яка побудована на використанні електронних сертифікатів й інфраструктури відкритих ключів (PKI). Засоби ідентифікації з застосуванням біометрічних технологій забезпечують належний рівень надійності при створенні розгорнутих схем доступу. В розвинутих країнах ідентифікація користувача з використанням систем біометрії є першочерговим та обов’язковим кроком для отримання дозволу доступу до будь-яких відомостей у корпоративних мережах**.
Необхідно зазначити, що застосування «інтелектуальних технологій обробки даних» при відповідній організації доступу дає можливість на порядок підвищити безпеку функціонування різних комп’ютеризованих і телекомунікаційних систем і мереж, у тому числі й до тих, що стосуються передачі інформації, яка сприяє прийняттю стратегічних рішень, використовується у системах управління військами та зброєю, а також проходженню команд, що відповідають за безпечний розвиток технологічних процесів на різних об’єктах з підвищеним ступенем небезпеки. Як вже підкреслювалося вище, на зміну поширеним PIN-кодам і подібним технологіям, які залишаються досить вразливими з точки зору забезпечення безпеки комп’ютеризованих систем, нині приходять більш сучасні та надійні технологічні рішення, що використовують останні досягнення інформаційно-телекомунікаційних технологій, у тому числі й у сфері біометричних технологій.
Орієнтація на «інтелектуальні автоматизовані системи захисту» інформації виступає як одне з першочергових завдань організації безпеки та захисту будь-яких банків даних. На думку експертів, у сучасному суспільстві рівень вирішення проблем захисту інформації, разом з прогресом інформаційно-комп’ютерних технологій, став чинником, який визначає швидкість і ефективність впровадження інформаційних систем у всі сфери життя.
На сьогодні від якості використовуваних технологій захисту інформації залежить не тільки утаємничення конфіденційних відомостей, але і взагалі існування ряду інформаційних і телекомунікаційних сервісів, послуг і додатків. Як приклад можна навести розробку компанії «Intel (2008 рік), до складу якої входить набір нових апаратно-програмних функцій корпоративної версії системи управління комп’ютерами «vPro», яка мала на стадії розробки шифр «Danbury». Головна новинка цієї версії – це представлена система шифрування інформації, котра дозволяє захищати весь обсяг призначених для користування даних, також в оновленій версії «vPro» використовуться засоби, що спрощують інсталяцію та процедуру управління і контролю автоматизованими робочими місцями.
Система шифрування «vPro» призначена для доповнення вже існуючих комерційних розробок, які вже застосовуються в установах і компаніях, на базі проведення програмно- апаратного шифрування даних у процесорах, причому особливістю даної системи є можливість здійснення своїх функцій навіть у разі, коли комп’ютер перебуває у режимі «сну».
Нові компоненти платформи «Danbury» повинні забезпечити належне вирішення проблем зберігання й обміну криптографічними ключами у будь-якому захисному програмному забезпеченні, що встановлений у корпоративній системі. В «Intel» відзначають, що на сьогодні багато установ і фірм використовують систему шифрування у масштабах всієї організації, але не можуть забезпечити належного захисту на програмному рівні систем зберігання криптографічних ключів, крім того, у більшості відсутні засоби, які б забезпечували захист інформації на жорсткому диску, причому значна кількість систем шифрування працює як на рівні програмних додатків, так і на рівні операційних систем. Але навіть у тому випадку, якщо в системах і проведений захист всіх жорстких дисків комп’ютерів, інформація на них все одно залишається привабливою метою для хакерів в ті моменти, коли комп’ютери перебувають у режимі очікування або «сну».
Платформа «Danbury» не є заміною захисних розробок таких компаній, як «Credant», «PGP», «Pointsec», «Safeboot» або «Utimaco», вона лише доповнює їх, створюючи ще один додатковий рівень захисту даних на апаратному рівні. Фахівці вважають, що переклавши певні операції на апаратне забезпечення, будь-яка система захисту стає простішою та надійнішою (наприклад, у випадку, коли шифрувальні ключі зберігаються у спеціальному чіпі, який встановлюється на материнській платі).
Іншим важливим нововведенням «vPro» повинна стати перероблена технологія «Active Management Technology» (AMT), яка надає можливість адміністраторам мереж віддалено оновлювати програмне забезпечення на десятках і сотнях комп’ютерах водночас. Раніше «Intel» вже повідомляла про розробку програм з новими можливостями, що дозволяють на рівні процесора ідентифікувати зловмисне програмне забезпечення та забезпечити захист операційних систем, у тому числі й віртуалізованих, від ураження. У новій версії AMT з’явилася можливість роботи з NAC-системами (network access control), що використовуються для конфігурування пристроїв і мережевої аутентифікації користувачів.
Оновлена версія «Active Management Technology» має можливість роботи
з комп’ютерами, які перебувають під захистом спеціальних шифрувальних програм, що дає можливість проведення процедур їх оновлення у непомітному для ко-
ристувачів режимі*.
В даний час у світі все активніше розвиваються та запроваджуються комплексні біометрично-криптографічні комп’ютерні технології, скеровані на забезпечення працездатності таких комплексних і масштабних мережевих застосувань, як електронний банк (e-banking), електронна торгівля (e-commerce) і електронний бізнес (e-business).
У світовій спільноті на порядку денному стоять і поетапно вирішуються завдання розробки, вдосконалення та впровадження таких найважливіших технологій захисту інформації, як:
– нових стандартів електронно-цифрового підпису (ЕЦП);
– масштабованої системи електронних цифрових сертифікатів з використанням центрів довіри;
– криптографічно захищених корпоративних (віртуальних) комп’ютерних мереж і засобів міжмережевого екранування;
– засобів антивірусного захисту та засобів захисту від несанкціонованого доступу (НСД) до інформації для неоднорідно розподілених інформаційних систем;
– моніторингу і аудиту безпеки мережевих інформаційних ресурсів;
– захищених програмно-апаратних засобів для IP-телефонії;
– засобів захисту мереж мобільного зв’язку та персональних комунікацій;
– засобів біометричної ідентифікації, а також персональних засобів криптогра-
фічного захисту інформації (ЗКЗІ) та засобів аутентифікації на базі інтелектуальних
карт та інших малогабаритних технічних засобів обробки інформації.
Розвиток зазначених перспективних технологій захисту інформації вимагає, з одного боку, застосування нових математичних і криптографічних рішень (наприклад, криптоалгоритмів на основі еліптичних кривих, методів квантової криптографії, фрактальних алгоритмів стискання даних), а, з іншого – істотно залежить від прогресу розвитку світових мікропроцесорних, алгоритмічних, програмних й інших суміжних технічних рішень.
У розробці біометричних технологій ідентифікації досить добре зарекомендували себе такі компанії як «Compaq», «Identix», «Veridicom», «Key Tronic», «Miros», «Visionics», «Microsoft» і ряд інших. Вони використовують наступні принципи забезпечення безпеки інформаційних систем:
– законність заходів щодо виявлення та запобігання правопорушенням в інформаційній сфері;
– безперервність реалізації та вдосконалення засобів і методів контролю й захисту інформаційних систем;
– економічна доцільність, тобто проведення аналізу величин можливих збитків і витрат на створення необхідного рівня безпеки інформації;
– комплексність використання всього арсеналу наявних захистних засобів у всіх підрозділах підприємств і установ на всіх етапах інформаційного процесу*.
Стан українських досліджень у галузі інтелектуальних систем аналізу і захисту інформації, кажучи в цілому, не можна охарактеризувати навіть як задовільне. У 2008 році в нашій країні питання технічного захисту інформації регулювалось 10 Законами України, 8 Указами Президента України, 24 постановами та розпорядженнями Кабінету Міністрів України, 19 наказами уповноваженого центрального органу виконавчій владі. З питань технічного захисту інформації введено в дію 39 нормативних документів і 4 ДСТУ.
Водночас все ще недостатньо врегульованими залишається ціла низка окремих питань, які належать до захисту персональних даних, електронної комерції, захисту державних інформаційних ресурсів.
Підсумовуючи викладене у даному розділі, хотілося б особливо підкреслити на необхідності враховування такого фактора, що справжню інформаційну безпеку на державному рівні від витоку будь-яких секретних і конфіденційних даних може гарантувати тільки використання апаратно-програмних засобів, розроблених і вироблених під спеціальним контролем безпосередньо в країні, де вони будуть використовуватись. На користь цього говорить акцентування уваги аналітиків науково-технічного комітету Пентагона на те, що у програмному забезпеченні, що розроблене в інших країнах, можуть бути спеціальні закладки, передбачена наявність можливостей несанкціонованого доступу та інших прихованих шкідливих функцій.
Використання будь-якими державними структурами Сполучених Штатів таких програмних продуктів у локальних і глобальних мережевих системах істотно збільшує ймовірність виникнення потенційних загроз.
Очікується, що протягом 2009 року має набути чинності закон, згідно якому Пентагону та іншим силовим відомствам США обсяг використовуваного програмного забезпечення (ПЗ), що розроблявся поза межами Сполучених Штатів Америки, доведеться суттєво скоротити. Після набуття чинності закону уряд США отримає право на детальну перевірку вихідних текстів ПЗ, які розробляються іноземними підрядниками для американських силових відомств**.
На жаль, в Україні, як і в багатьох інших країнах, основна кількість засобів використовуваного апаратно-програмного забезпечення розроблені та виготовлені за межами країни. З країн СНД тільки наш найближчий сусід – Російська Федерація – починає робити перші кроки з виправлення такої ситуації.
Спеціалізоване програмне забезпечення – забезпечення електронного документообігу, використання електронно-цифрового підпису (ЕЦП), передача даних, а в перспективі програми з перетворення дактилоскопічних відбитків пальців і отримання 3D-цифрових фотозображень – вже створюються в Росії. І в основному в науково-дослідному інституті (НДІ) «Восход» (До відома: НДІ «Восход» займається не тільки російською системою біометричних закордонних паспортів, але й іншими державними автоматизованими системами: «Вибори», «Правосуддя» і рядом інших). А ось основа програмно-технологічного забезпечення інформаційно-технологічної складової реалізована поки що на зарубіжних технологіях. Операційні системи, СУБД, продукти передачі даних – все від світових виробників: «Microsoft», «IBM», «Oracle»*.
Міністерство інформаційних технологій і зв’язку Російської Федерації опублікувало проект концепції розвитку вільного програмного забезпечення (ВПЗ) у Росії, яка в 2008 році була схвалена та прийнята урядом. Документ визначає ВПЗ як програмне забезпечення, користувач якого має право не тільки діставати доступ до початкового тексту програми та модифікувати його, але і поширювати (у тому числі й продавати) змінені програми. У Мінінформзв’язку вважають, що розвиток вільного програмного забезпечення сприятиме зміцненню національної безпеки, прискоренню розвитку національної софтверної галузі, зменшенню кількості злочинів у сфері авторських прав в державі та підсилить конкуренцію на ринку ПЗ, де в дуже багатьох сегментах домінують продукти «Microsoft»**.
Як до Росії, так і до України мікрочипи до паспортно-візових документів нового покоління постачає дочірня компанія «Philips» – нідерландська фірма «NXP». Але в
Російській Федерації планується, що вже у 2009 році постачальником може стати російська компанія. У травні 2007 року конкурсна комісія Мінпроменерго РФ підвела підсумки тендера на постачання експериментальних партій чипів, і переможцями були визнані дочірня компанія фірми «Сітронікс» «Мікрон» і зеленоградская компанія «Ангстрем-Т». У 2009 році в РФ повинна бути визначена майбутня національна компанія-постачальник мікрочипів для російських закордонних біометричних паспортів***.
Також у Росії 19 березня 2008 року був виданий президентський указ, що заборонив підключення інформаційних систем, мереж і комп’ютерів, на яких обробляється, зберігається або передається інформація, що містить державну або службову таємницю, до Інтернету****.
Наскільки важливим є захист інформаційних об’єктів, функціонування яких пов’язане з обробкою і зберіганням інформації, показує здіснення по суті кібервійни у серпні 2008 року проти Грузії. Проведені у той час кібератаки істотно підірвали систему зв’язку і комунікаційні можливості грузинської держави. 20 її вебсайтов на цілий тиждень були виведені з ладу. Серед цих паралізованих сайтів були сайти грузинського президента і міністра оборони, а також Національного банку Грузії і основних засобів масової інформації. Практично була виведена з ладу вся банківська система, що викликало параліч економіки.
Коли почалися бойові дії, розподілені атаки типу «відмова в обслуговуванні» (DDoS-атаки) посилилися, зробивши неможливим доступ до сайтів засобів масової інформації і державних відомств. Банки закрили свої сервери для захисту від крадіжки даних, але наплив помилкової інформації і помилкових IP-пакетов спровокував реакцію міжнародних банків, які припинили зв’язок з Грузією. DDoS-атака сама по собі позбавляла Грузію можливості зв’язку зі світом, але проблему посилила реакція на неї фінансових інститутів. У поєднанні ці дії привели до одного результату: росіянам вдалося ізолювати Грузію*.
Загальновідомо, що деякі країни, включаючи Сполучені Штати, Китай, Росію і Ізраїль, ведуть вивчення можливостей кібервійни. Якими можуть бути ці можливості, і як могла б виглядати кібервійна – все це утаємничено завісою секретності. Ті країни, які першими оволодіють мистецтвом кібервійни, зможуть отримати фундаментальну перевагу на початкових стадіях конфлікту. Вивід з ладу систем комунікації на початку наступу – це стандартна військова практика.
Проводячи свою передвиборчу кампанію в липні 2008 року, Барак Обама назвав кібербезпеку одним з найбільших викликів, що в даний час стоять перед Сполученими Штатами. «Ставши президентом, я дам кібербезпеці пріоритет, якого вона і заслуговує в 21-му столітті», – сказав він. У своєму виступі Обама також порівняв кібернетичні загрози з ядерною і біологічною зброєю**.
Зростаюча динаміка обміну інформацією вимагає все більших можливостей
від систем захисту. Складовою частиною таких систем є біометрика. Метод ідентифікації на підставі біометричних даних забезпечує достатньо ефективний захист проти спроб фальсифікації, змін параметрів, несанкціонованого доступу і розкрадання інформації,
яка потребує захисту.
Розділ 15
ПРАВОВІ ПРОБЛЕМИ, ЯКІ ВИНИКАЮТЬ
ПРИ ЗАСТОСУВАННІ БІОМЕТРІЇ
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Прямих законів, які регулюють застосування біометрії в Україні, поки що не прийнято. В розвинутих світових країнах відповідні правові норми, що регламентують використання біометричних ідентифікаційних даних, прописані в галузях права, які охороняють приватні права людини, забезпечують конфіденційність персональної інформації і, як наслідок, практичну реалізацію законодавчих актів оперативно-розшукової діяльності. Для стандартизації й уніфікації нормативних актів, що регулюють використання біометричних технологій у світі, розроблені та прийняті відповідні міжнародні нормативні документи.
Європейським союзом у 2000 році була прийнята «Резолюція з питань безпеки паспортних документів і інших дорожніх документів», якою з 1 січня 2005 року було запроваджено в країнах ЄС введення загальнообов’язкових мінімальних стандартів безпеки у сфері виробництва паспортних і проїзних документів, що були спрямовані на захист паспортів та інших аналогічних документів від підробок шляхом запровадження біометричної ідентифікації особистості.
У вересні 2001 року Радою безпеки ООН була прийнята резолюція № 1373 щодо боротьби з міжнародним тероризмом, в якій особлива увага була приділена посиленню заходів з попередження фальсифікації офіційних документів, які засвідчують особистість, підвищенню їх надійності і уніфікації відповідно до обов’язкових для всіх членів світової спільноти єдиних вимог.
Україна ратифікувала міжнародні угоди з питань захисту паспортних документів і протидії міжнародній організованій злочинності, нелегальній міграції тощо. Йдеться про Європейську Конвенцію про захист прав і основних свобод людини 1950 року, Конвенцію ООН проти транснаціональної організованої злочинності, Європейську угоду щодо правил, які регламентують пересування громадян держав – членів Ради Європи, а також про Програму реалізації положень Варшавської конференції про загальну боротьбу проти тероризму 2001 року, Нью-Орлеанську угоду 2002 року, Віденську декларацію 2003 року, Рішення ОБСЄ № 7/03 від 2 грудня 2003 року «Безпека проїзних документів» і ряд інших.
Відповідно до положень цих документів і інтересів національної безпеки, економічного благополуччя та дотримання прав людини в Україні, недопущення створення умов для обмеження вільного пересування громадян нашої країни при в’їзді-виїзді до інших держав реальна світова дійсність наполегливо вимагає імплементації в українське законодавство норм і вимог відповідних міжнародних угод і стандартів.
Для уніфікації та сумісності технологічних і технічних рішень у галузі біометрії, організації обміну відповідною інформацією між правоохоронними органами різних держав, координації міжнародних зусиль, скерованих на боротьбу з тероризмом, нелегальною міграцією і організованою злочинністю, яка все більш стає транснаціональною, відповідними міжнародними організаціями також прийняті загальнообов’язкові технологічні стандарти, які будуть розглянуті у наступному розділі.
Наприкінці 2007 року американський Інститут комп’ютерної безпеки SANS, що є однією з провідних інституцій США, котрий займається дослідженням проблем інформаційного захисту комп’ютерних мереж, опублікував щорічний звіт, в якому зазначив, що кіберзлочинність існує у декількох видах. Перелік, який постійно змінюється та доповнюється, включав наступні основні типи комп’ютерно-інформаційної злочинності:
– порушення безпеки інформаційних мереж;
– фінансові шахрайства;
– вторгнення у приватне життя та викрадення персональних даних;
– зараження комп’ютерними вірусами та розповсюдження спаму.
Для застосування біометричних технологій особливо великого значення набуває цілістність персональних даних громадян і недопущення витоку приватної інформації, тобто забезпечення «приватності» особистого життя шляхом дотримання прав і свобод людини. При презентації всеосяжної Глобальної програми кібернетичної безпеки генеральний секретар Всесвітнього інформаційного суспільства (ВІС) Хамадун Туре заявив, що метою даної програми є сприяння виробленню загального розуміння важливості забезпечення інформаційної безпеки і об’єднання всіх зацікавлених сторін, у тому числі урядових установ, міжурядових організацій, представників приватних фірм і всіх прошарків громадянського суспільства, у виробленні конкретних заходів щодо боротьби з комп’ютерно-інформаційною злочинністю.
В даний час всі базові документи, що діють у сфері комп’ютерно-інформаційної безпеки, мають обов’язкову силу тільки в межах національних кордонів або міждержавного об’єднання країн. Саме така існуюча реальність дозволяє кіберзлочинцям використовувати в своїх інтересах наявні прогалини у діючих національних нормативних актах. Сьогодні посиленим кібератакам особливо піддаються ті країни, в яких ще не прийняті закони, які регламентують захист персональних даних та відповідну комп’ютерну безпеку.
В основу глобальної програми кібербезпеки закладено п’ять принципів:
1. Пошук технічних рішень для будь-яких умов.
2. Розробка таких національних нормативно-правових баз, які передбачають можливість міждержавної взаємодії.
3. Створення необхідного потенціалу у всіх відповідних галузях безпеки.
4. Утворення та розбудова спеціальних організаційних структур.
5. Розробка та реалізація ефективних механізмів міжнародної співпраці.
Міжнародні експерти прийшли до одностайньої думки з приводу того, що на поточний момент слід розробити єдині міжнародні рамкові документи та стандарти, основні положення яких повинні обов’язково бути імплементовані у національні нормативні акти з метою забезпечення інформаційної безпеки міжнародного Співтовариства і, насамперед, стабільності функціонування Інтернету у відповідності до досягнутих міждержавних угод. Ці загальносвітові рамкові документи та стандарти повинні містити й конкретні відсилання з особливостей застосування звичайних норм права у кіберпросторі.