CC BY
13Государственная служба и кадры. 2023. № 5. С. 23 — 29. State service and personnel. 2023;(5):23 —29.
Научная статья
УДК 34; 004.056 ББК 16.8
https://doi.org/10.24412/2312-0444-2023-5-23-29 EDN: https://elibrary.ru/IDHEEY
NIION: 2012-0061-05/23-257 MOSURED: 77/27-008-2023-05-457
Обзор нормативно-правовых актов австралийского союза по информационной безопасности
Петр Михайлович Дуплякин
Воронежский институт МВД России, Воронеж,
Россия, 00008540@mail.ru
Аннотация. В статье анализируются нормативно-правовые акты Австралийского Союза по защите информации. Целью является анализ подходов к обеспечению информационной безопасности в зарубежных странах. Достижением цели послужит анализ нормативно-правовых актов в области обеспечения информационной безопасности и формирование направлений для обеспечения информационной безопасности. В центре внимания будут находиться ключевые правовые акты, определяющие информационную безопасность в Австралийского Союза.
Ключевые слова: информационная безопасность, личная информация, конфиденциальная информация, принципы конфиденциальности, критическая инфраструктура, риски, кибербезопасность
Для цитирования: Дуплякин П.М. Обзор нормативно-правовых актов австралийского союза по информационной безопасности // Государственная служба и кадры. 2023. № 5. С. 23—29. https://doi.org/10.24412/2312-0444-2023-5-23-29 ЕЭЫ: https://elibrary.ru/IDHEEY
Original article
Review of regulations of the information security union of Australia
Pyotr M. Duplyakin
Voronezh Institute of the Ministry of Internal Affairs of Russia,
Voronezh, Russia, 00008540@mail.ru
Abstract. The article analyzes the regulatory legal acts of the Australian Union for the Protection of Information. The aim is to analyze approaches to ensuring information security in foreign countries. The goal will be achieved through the analysis of regulatory legal acts in the field of information security and the formation of directions for ensuring information security. The focus will be on the key legal acts that defined information security in the Australian Union.
Keywords: information security, personal information, confidential information, confidentiality principles, critical infrastructure, risks, cybersecurity
For citation: Duplyakin P.M. Review of regulations of the information security union of Australia // State service and personnel. 2023.(5):23—29. (In Russ.). https://doi.org/10.24412/2312-0444-2023-5-23-29 EDN: https://elibrary.ru/IDHEEY
Основной опыт и знания принято закреплять р нормативно-правовых актах. Законы и их разновидности: нормативные документы, стандарты, приказы одна из форм знаний, закреплённых законодательно, в них отражены опыт, знания, методики, накопленные годами. Рассмотрим их. Для удобства анализы выделим у них особые признаки и поместим в таблицу (см. таблицу 3).
1. Закон о неприкосновенности частной жизни 1988 года (Privacy Act 1988)
Закон о неприкосновенности частной жизни дает право физическим лицам на защиту лич-
© Дуплякин П.М., 2023
ной информации. Ключевыми особенностями является:
1) вводит термин личная информация, личная информация — информация о физическом лице, которую можно разумно идентифицировать, независимо от того, являются ли эта информация или мнение правдивыми, или нет;
2) дает разъяснения по поводу конфиденциальной информации. Конфиденциальная информации — это информация, которое тоже является личной информацией, но которая содержит в себе информацию о: расовом или этническом происхождении; политических взглядах; членстве в политической партии; религиозных убеждения
№ 5/2023
или принадлежности; сексуальной ориентации и практики; судимости; медицинской информации; генетической информации; биометрической информации.
3) законом вводиться принципы конфиденциальности, принципы обязательно должны соблю-
даться правительственными учреждениями и крупными компаниями, в исключение попадают некоторые операторы малого бизнеса (см. таблицу 1);
4) кредитные организации и органы кредитной отчетности обязаны соблюдать положения о кредитной отчетности [1].
Таблицу 1. Принципы конфиденциальности
№ п/п Принципы конфиденциальности Основной смысл принципа конфиденциальности
1. Открытое и прозрачное управление личной информацией ■ управлять личной информацией открыты и прозрачно; ■ организация должна принять разумные действия для гарантии соблюдения принципов конфиденциальности; ■ организация, оказывающая услуги должна иметь четкую политика конфиденциальности; ■ политика конфиденциальности должна содержать: ■ вид личной информации, способ сбора и хранения информации; ■ цель сбора информации; ■ организация должна принимать и рассматривать запросы и от физических лиц; ■ политика конфиденциальности должна быть бесплатной
2. Анонимность физические лица должны иметь возможность не идентифицировать себя или использовать псевдоним
3. Сбор запрашиваемой личной информации ■ организация не должна собирать личную информацию (кроме конфиденциальной информации), за исключением случаев, когда эта информация необходима для деятельности организации; ■ организация не должна собирать конфиденциальную информацию, когда физическое лицо не дает согласие на сбор; ■ организация должна собирать личную информацию только законными и честными способами; ■ организация должна собирать информацию только от самого физического лица
4. Работа с нежелательной личной информацией если пользователь узнает, что организация получила личную информацию и он не давал разрешение на сбор личной информации организация должна дать в разумный период времени ответ, могла ли организация собирать информации в соответствии с законом
5. Уведомление о сборе личной информации организация должна уведомлять физическое лицо о сборе личной информации
6. Использование или раскрытие личной информации личная информация о человеке, собранная для основных целей, не может быть использована для других целей
7. Прямой маркетинг собранная личная информация не может быть использована в целях прямого маркетинга, за исключением, когда физическое лицо разумно ожидает что организация будет использовать или раскрывать информацию для этой цели
№ 5/2023
24 -
Окончание табл. 1
№ п/п Принципы конфиденциальности Основной смысл принципа конфиденциальности
8. Трансграничное раскрытие личной информации при раскрытии информации о физическом лице получатель которой находиться за рубежом организация должна принять меры чтобы зарубежный получатель не нарушит принципы конфиденциальности
9. Использование и раскрытие идентификаторов, связанных с правительством организация не должна идентифицировать себя как государственная, если это не разрешено или требуется законом или постановлением суда; организация не должна раскрывать государственный идентификатор физического лица, за исключением: ■ для проверки личности физического лица в целях деятельности или функций организации; ■ для выполнения своих обязательств перед агентством или органом власти штата или территории;
10. Качество личной информации организация должна предпринять разумные меры для того, чтобы гарантировать, что личная информация, которую собирает организация, является точной, актуальной и полной
11. Безопасность личной информации организация должна предпринять разумные меры для защиты этой информации от: потери, неправильного использования, изменения, разглашение и несанкционированного доступа
12. Доступ к личной информации Если организация хранит личную информацию о физическом лице, она должна по запросу физического лица предоставить физическому лицу доступ к этой информации.
13. Исправление личной информации Если организация, которая хранит личную информацию о физическом лице считает, что информация неточная, устаревшая, неполная организация должна принять разумные меры для исправления этой информации
2. Закон о безопасности критической инфраструктуры (Security of Critical Infrastructure Act)
«Закон о безопасности критической инфраструктуры» 2018 года № 29 (Security of Critical Infrastructure Act 2018 № 29) направлен для управления рисками национальной безопасности, связанными с критической инфраструктурой, путем:
■ оперативного выявления, контроля, управления с целью понимания рисков и взаимодействия на всех уровнях власти;
■ создание реестра критической инфраструктуры, которые не будет обнародованы;
■ требовать от организаций, имеющих отношение к критической инфраструктуре предоставлять информацию и уведомлять о происходящих событиях;
■ разрешено требовать от организаций совершать действия или бездействия, которые могут предотвратить ущерб безопасности;
■ разрешено требовать от организаций предоставлять информацию или документы;
■ разрешено проводить оценку объектов критически важной инфраструктуры, чтобы определить существующие риски.
Информация, полученная в результате исполнения этого закона, является ограниченного доступа, но может раскрываться по разрешению. За неисполнение закона могут быть наложены санкции, штрафы и уголовное наказание. К оперативной информации относиться:
■ местонахождение объекта критически важной инфраструктуры;
■ описание области, в которой обслуживается объект;
№ 5/2023
■ информацию о каждой организации, которая является ответственной организацией;
■ название организации ответственной организацией;
■ адрес головного офиса организации или основного места деятельности;
■ страна, в которой организация была зарегистрирована; информация о директоре;
■ описание механизмов хранения данных.
К критически важной инфраструктуре относиться: порты, объекты электроэнергетики, водные ресурсы, газовые объекты [2].
3. Закон 1979 года о телекоммуникации (перехват и доступ) (Telecommunications (Interception and Access) Act 1979)
Запрещает перехват информации и иной доступ к ней, за исключением, когда это разрешено в особых обстоятельствах или с целью отслежи-
вания местоположения абонентов в чрезвычайных ситуациях, а также для других целей. Австралийская организация безопасности и разведки, правоохранительные органы могут получать доступ к телекоммуникационным данным, выдавая внутреннее разрешение (ордер) организации.
В 2015 году в закон были внесены поправки, которые обязали поставщиков телекоммуникационных услуг хранить в течение 2 лет после удаления учетной записи данные указанные в таблице 2. Закон не запрещает поташнику услуг хранить информацию или документ превышающий период, указанный в законе. Правительственные и правоохранительные органы имеют право просматривать личную информацию без ордера, за исключением журналистов. Для просмотра личной информации журналистов нужно разрешение генерального прокурора [4].
Таблица 2. Вида данных, подлежащая обязательному хранению
№ п/п Типы данных Описание информации
1. Абонент и учетные записи, услуги, телекоммуникационные устройства и другие соответствующие услуги, относящиеся к соответствующей услуге ■ любая информация об имени или адресе; ■ любая другая информация для целей идентификации; ■ информация, используемая поставщиком услуг в целях идентификации абонента соответствующей услуги; ■ любая информация, относящаяся к любому контракту, соглашению или договоренности, относящейся к соответствующей услуге, или к любой связанной учетной записи, сервису или устройству; ■ любые идентификаторы, относящиеся к соответствующей услуге или любой связанной учетной записи, сервису или устройству, являющиеся информацией, используемой поставщиком услуг в отношении соответствующей услуги или любой связанной учетной записи, сервиса или устройства; ■ статус соответствующей службы или любой связанной учетной записи, сервиса или устройства.
2. Источник сообщения Идентификаторы соответствующей учетной записи, службы или устройства, с которого сообщение было отправлено посредством соответствующей службы
3. Адресат сообщения Идентификаторы учетной записи, телекоммуникационного устройства или соответствующей службы, к которым осуществляется связь: ■ была отправлена; ■ или был переадресован, перенаправлен или передан или предпринималась попытка переадресации, маршрутизации или передачи
4. Дата, время и продолжительность сообщения или его подключения к соответствующей услуге Дата и время (включая часовой пояс) следующего, относящегося к сообщению (с достаточной точностью для идентификации сообщения): ■ начало передачи данных; ■ прекращение связи; ■ подключение к соответствующей услуге; ■ отключение от соответствующей службы
№ 5/2023
Окончание табл. 2
№ п/п Типы данных Описание информации
5. Тип сообщения или соответствующей услуги, используемой в связи с сообщением ■ тип связи (голосовая, SMS, электронная почта, чат, форум, социальные сети; ■ вид связи (Wi-Fi, GPRS, LTE и т.д.); ■ функции соответствующей службы, которые были или должны были быть использованы или включены для связи (ожидание вызова, переадресация вызова, объем использованных данных)
6. Местоположение оборудования или линии, используемой в связи со связью ■ местоположение оборудования или линии в начале связи; ■ местоположение оборудования или линии в конце передачи данных.
4. Руководство по информационной безопасности (Information Security Manual (ISM))
Руководство разработало Австралийское управление связи. Целью руководства является описание структуры кибербезопасности, которую организация может применять, используя систему рисков, для защиты от киберугроз. Предназначено для главных сотрудников по информационной безопасности и менеджеров по информационным технологиям. По закону организации не обязаны соблюдать руководство по информационной безопасности. В документы перечислены основные принципы кибербезопасности. Цель принципов кибербезопасности - предоставить стратегическое руководство о том, как организация может защитить свои системы и данные от киберугроз. Эти принципы кибербезопасности сгруппированы по четырем ключевым направлениям деятельности:
■ управление (выявление, обнаружение рисков безопасности и управление ими);
■ защита (внедрение средств контроля для снижения рисков безопасности);
■ обнаружение (обнаружение и понимание событий кибербезопасности для выявления инцидентов кибербезопасности);
■ реагирование (реагирование на инциденты кибербезопасности и восстановление после них).
Структура управления рисками состоит из этапов:
■ определение цели (определяется тип, ценность и цели обеспечения безопасности системы на основе оценки последствий, если она будет скомпрометированы;
■ выявление рисков (на каждый риск должно быть средство контроля);
■ внедрение средств контроля (внедрение элементов управления для системы и ее опе-
рационной среды, как только будут определены подходящие средства они должны быть незамедлительно внедрены);
■ оценка средств контроля (оценка должна проводиться экспертами);
■ авторизация системы (прежде чем системе будет выдано разрешение на эксплуатацию уполномоченным лицом, должна иметь план обеспечения безопасности, план реагирования на инциденты, план непрерывного мониторинга.
■ мониторинг системы (осуществляется мониторинг системы и связанных с ним ки-беругроз, рисков безопасности и средств контроля на постоянной основе. [5]
Для управления рисками в Австралийском Союзе пользуется стандартами международных организаций, таки как:
1. ISO 31000:2018 Управление рисками — руководящие принципы.
2.IEC 31010:2019 Управление рисками — методы оценки рисков.
3. ISO/IEC 27001 ISO /IEC 27001: 2022 Информационная безопасность, кибербезопасность и защита конфиденциальности Системы управления информационной безопасностью. Требования.
4. ISO /IEC 27005: 2022 Информационная безопасность, кибербезопасность и защита конфиденциальности — руководство по управлению рисками информационной безопасности.
5. NIST SP 800-30 Rev. 1, руководство по проведению оценки рисков.
6. NIST SP 800-37 Rev. 2, структура управления рисками для информационных систем и организаций: подход к обеспечению безопасности и конфиденциальности на основе жизненного цикла системы [6].
№ 5/2023
Таблица 3. Нормативно-правовые акты, основные идеи, концепции, принципы
№ п/п Нормативные правовые актов Основные идеи, концепции, принципы (отличительные особенности)
1. закон о неприкосновенности частной жизни 1988 года (Privacy Act 1988) вводит 13 Австралийских принципов конфиденциальности
2. закон о безопасности критической инфраструктуры(The Security of Critical Infrastructure Act) выявление, анализ контроль и управление рисками в критически важной инфраструктуре
3. закон 1979 года о телекоммуникации (перехват и доступ) (Telecommunications (Interception and Access) Act 1979) определены типы данных, которые обязаны хранить поставщики телекоммуникационных услуг
4. руководство по информационной безопасности (Information Security Manual (ISM)) разработана в помощь главных сотрудников по информационной безопасности, не обязателен для применения
5. ISO 31000:2018 Управление рисками — Руководящие принципы содержит общий подход к управлению любыми рисками
6. IEC 31010:2019 Управление рисками -методы оценки рисков описывает выбор и применение методов оценки рисков
7. SO /IEC 27005: 2022 Информационная безопасность, кибербезопасность и защита конфиденциальности — руководство по управлению рисками информационной безопасности документ содержит рекомендации, помогающие организациям выполнить требования, касающиеся действий по устранению рисков информационной безопасности и управлению рисками информационной безопасности, в частности, по оценке и обработке рисков информационной безопасности
8. NIST SP 800-30 Rev. 1, руководство по проведению оценки рисков рекомендации по проведению оценки рисков федеральных информационных систем и организаций
9. NIST SP 800-37 Rev. 2, структура управления рисками для информационных систем и организаций: подход к обеспечению безопасности и конфиденциальности на основе жизненного цикла системы описывает структуру управления рисками
Стоит отметить, как и у большинства стран информационную безопасность Австралийского Союза приравнивают к кибербезопасности или компьютерной безопасность. Говоря о терминологии кибербезопасности, хочется отметим, что термин информационная безопасность является более широкое понятием. Информационная безопасность состоит из-под систем и включает в себя компьютерная безопасность, экономическая безопасность и т.д. Законодатели стремятся предусмотреть риски путем создания реестра критической инфраструктуры. Критическая инфраструктура является информацией ограниченного доступа и не подлежат обнародованию. В инфраструктуре страны выделены особо важные объек-
ты, которые подлежат обязательной защите. Для управления рисками используются международные стандарты. Стандарты имеет большое значение, для оценки и управления рисками. Стоит отметить, чтобы противостоять угрозам, нужно инвестировать в развитие науки, совершенствовать и прорабатывать научные исследования.
Список источников
1. Закон о неприкосновенности частной жизни 1988 года // [Электронный ресурс]. URL: https:// www. legislation. gov.au / Details/C2023C00130.
2. Закон о безопасности критической инфраструктуры 2018 // [Электронный ресурс]. URL: https:// www.legislation.gov.au/Details/C2018A00029.
№ 5/2023
3. Закон 1979 года о телекоммуникации (перехват и доступ) (Telecommunications (Interception and Access) Act 1979) // [Электронный ресурс]. URL: https://www.legislation.gov.au/Details/ C2023C00379.
4. Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015 // Электронный ресурс]. URL: https://www. legislation.gov.au/Details/ C2015A00039.
5. Руководство по информационной безопасности // [Электронный ресурс]. URL: https:// www.cyber.gov.au/resources-business-and-go-vernment/essential-cyber-security/ism.
6. Руководства по информационной безопасности // [Электронный ресурс]. URL: https:// www.cyber.gov.au/resources-business-and-govern-ment/essential-cyber-security/ism/using-informa-tion-security-manual.
References
1. The Privacy Act of 1988 // [Electronic resource]. URL: https://www. legislation. gov.au / Details/C2023C00130.
2. The Security of Critical Infrastructure Act 2018 // [Electronic resource]. URL: https://www. legislation.gov.au/Details/C2018A00029.
3. Information Security Manual (ISM) // [Electronic resource]. URL: https://www.cyber. gov.au/resources-business-and-government/essen-tial-cyber-security/ism.
4. Telecommunications (Interception and Access) Act 1979 // [Electronic resource]. URL: https:// www.legislation.gov.au/Details/C2023C00379.
5. Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015 // [Electronic resource]. URL: https://www.legislation. gov.au/Details/ C2015A00039.
6. Information Security Manual // [Electronic resource]. URL: https:// www.cyber.gov.au/resourc.
Информация об авторе
П.М. Дуплякин — преподаватель кафедры радиотехнических систем и комплексов охранного мониторинга Воронежского института МВД России.
Information about the author
P.M. Duplyakin — Lecturer of the Department of Radio Engineering Systems and Security Monitoring Complexes of the Voronezh Institute of the Ministry of Internal Affairs of Russia.
Статья поступила в редакцию 27.10.2023; одобрена после рецензирования 10.1 1.2023; принята к публикации 28.1 1.2023.
The article was submitted 27.10.2023; approved after reviewing 10.11.2023; accepted for publication 28.11.2023.
ИЗДАТЕЛЬСТВО «ЮНИТИ-ДАНА» ПРЕДСТАВЛЯЕТ
Вещные права и их защита. Учебник. Гриф МУМЦ " Профессиональный учебник". Гриф НИИ образования и науки / Под ред. Р.А. Курбанова, [А.И. Коновалов и др.]. 239 с.
ISBN: 978-5-238-03636-6
Учебник содержит систематизированное изложение материала, посвященного актуальным проблемам вещного права. Наряду с изложением положений действующего гражданского законодательства представлены различные доктрины вещного права и точки зрения по обсуждаемым проблемам, а также практика применения гражданско-правовых норм.
Для студентов и аспирантов юридических вузов и факультетов, преподавателей, научных и практических работников, а также всех, кто интересуется актуальными вопросами вещного права.
№ 5/2023
