Pēdējā laikā gan IT speciālistu, gan juristu un pat politiķu aprindās notiek diskusijas par Valsts informācijas sistēmu drošības problēmām. Nesenajā Satiksmes ministrijas organizētajā sanāksmē tika analizēta arī Krimināllikuma piemērošanas efektivitāte nodarījumos pret informācijas sistēmu drošību (turpmāk – ISD). Tika uzsvērts, ka nereti personas, kas izdarījušas nodarījumus pret informācijas sistēmu drošību, netiek sauktas pie atbildības. Diskusijā tika analizēti arī vairāki iemesli šādai situācijai. Raksta mērķis ir izvērtēt iespējamo problēmu spektru, kas saistīts ar krimināltiesību piemērošanas efektivitāti noziedzīgu nodarījumu gadījumos, kas vērsti pret ISD. Nodarījumu pret ISD priekšmets vienmēr ir automatizētās datu apstrādes sistēmas (turpmāk – ADAS).
1. Automatizētās datu apstrādes sistēmas jēdziens
Valsts krimināltiesisko jurisdikciju attiecina uz visām teritorijā esošajām fiziskām un juridiskām personām un viņu mantu, tajā skaitā uz ADAS. Tomēr jāatzīst, ka saistībā ar e-apdraudējumiem neviena valsts pasaulē nespēj nodrošināt vienādu tiesiskās aizsardzības režīmu visām valstī esošajām ADAS un to lietotājiem. Tāpēc, izstrādājot kiberapdraudējumu apkarošanas stratēģijas, valstis ADAS iedala pēc to piederības, izveides mērķa vērtības un iespējamā apdraudējuma sociālā kaitīguma pakāpes. Tādējādi valsts racionāli plāno savu krimināltiesisko resursu izmantošanu un paredz īpašu aizsardzības režīmu un atbildību par apdraudējumiem tādām ADAS, kuras izveidotas ar mērķi apstrādāt valsts drošībai (ekonomiskajai, politiskajai, militārajai u. c.) svarīgu informāciju: ADAS, kas apstrādā fizisko personu datus, ADAS, kas apstrādā ierobežotas pieejamības informāciju, u. c. Savukārt citu ADAS apdraudējumu gadījumā kaitīguma slieksnis ir ievērojami zemāks un līdz ar to samērīgai jābūt arī atbildībai.
Viena no šādām sistēmu grupām, kurai ir nepieciešama īpaša aizsardzība, ir Valsts informācijas sistēma (turpmāk – VIS). Šāds mērķis bija arī likumdevējam, nosakot Krimināllikumā, ka nodarījumi, kas veikti pret Valsts informācijas sistēmām, ir vērtējami kā nodarījumi ar ievērojami augstāku kaitīguma pakāpi nekā nodarījumi, kas vērsti pret citām ADAS. Lai apdraudējuma priekšmetu atzītu par ADAS, tam ir jāatbilst šādām pazīmēm:
1) ierīcei vai ierīču grupai ir jābūt savienotai ar elektroniskajiem tīkliem;
2) ierīcei vai ierīču grupai ir jābūt tādai, kas paredzēta automatizētai datu apstrādei;
3) par šādām sistēmām nevar tikt atzītas ierīces, kuras, kaut arī tām ir zināmas automatizēto datu apstrādes funkcijas, tomēr ir paredzētas citiem mērķiem, piemēram, spēļu automāti, taksofoni, sadzīves un virtuves iekārtas, automašīnās ievietotās elektroniskās ierīces, kas var tikt savienotas ar dažādu pamatierīces darbībai nepieciešamu mezglu kontroli, un datorsistēmas, ja tās nav savienotas ar tīkliem, u. c. Šādu ierīču pamatfunkcijas nav saistītas ar automatizētu datu apstrādi un informācijas apriti. Tāpēc darbības, kad fiziski tiek ietekmētas šādas ierīces, ir kvalificējamas kā tradicionālie nodarījumi, piemēram, zādzība, krāpšana. Tādējādi pamatnosacījums, lai nodarījumu kvalificētu kā apdraudējumu, kas ir vērsts pret informācijas sistēmu drošību vai saistīts ar krāpšanu ADAS, ir konstatēt, vai priekšmets vai nozieguma rīks atbilst ADAS jēdzienam. Tā kā mēs analizējam apdraudējumus, kas vērsti pret VIS, tad svarīgi ir konstatēt, vai VIS atbilst automatizētās datu apstrādes pazīmēm.
2. Valsts informācijas sistēmas jēdziens
Valsts informācijas sistēmu likuma1 1. panta 1. punkts noteic, ka "valsts informācijas sistēma ir strukturizēts informācijas tehnoloģiju un datubāzu kopums, kuru lietojot tiek nodrošināta valsts funkciju izpildei nepieciešamās informācijas ierosināšana, radīšana, apkopošana, uzkrāšana, apstrādāšana, izmantošana un iznīcināšana (turpmāk – informācijas aprite)". Likumā ietvertā definīcija expresis verbis nepasaka, ka VIS ir automatizēta datu apstrāde sistēma. Tomēr, analizējot likuma tekstu, secināms, ka VIS pilnīgi atbilst visām ADAS pazīmēm. Līdz ar to VIS ir atzīstama par ADAS.
Problemātiskāks jautājums ir par likumā noteiktajiem piederības kritērijiem, lai ADAS identificētu par VIS. Diskutējot par šo jautājumu ar Satiksmes ministrijas, Vides un reģionālās attīstības ministrijas (turpmāk – VARAM) speciālistiem, izrādās, ka viedokļi, kas ir uzskatāma par VIS, atšķiras. Piemēram, Satiksmes ministrijas eksperti uzskata, ka VIS ir tās sistēmas, kas ir reģistrētas VIS reģistrā, jo citādi šim reģistram nebūtu juridiskas nozīmes. Savukārt VARAM eksperti uzskata, ka par VIS atzīstama jebkura sistēma, kura atbilst Valsts informācijas sistēmu likuma 3. panta pirmās un otrās daļas kritērijiem. Tajā pašā laikā VARAM eksperti atzina, ka likumā izmantotie kritēriji ir ļoti plaši un nekonkrēti. Šobrīd valstī neviens nevar pateikt, cik šādu sistēmu valstī funkcionē un vai pamatfunkcijas, ko tās izpilda, ir saistītas ar valsti un pašvaldībām. Daudzi sistēmu īpašnieki, cenšoties izvairīties pildīt Valsts informācijas sistēmu likuma prasības un attiecīgos Ministru kabineta noteikumus, kas noteic papildprasības šīm sistēmām, aizbildinās, ka viņu valdījumā esošās ADAS nav saistītas ar šādu funkciju pildīšanu, līdz ar to neatbilst VIS statusam. Tāpēc no valsts puses zināma kontrole ir iespējama tikai par tām sistēmām, kas ir reģistrētas VIS reģistrā, bet tās ir tikai 173 sistēmas.
VIS sistēmu identifikācijai likumdevējs noteicis pamatprasību, ka tām ir jābūt saistītām ar informācijas apriti, kas paredzēta normatīvajos aktos un Latvijai saistošajos starptautiskajos līgumos noteikto funkciju izpildei. Savukārt kā papildu prasība ir noteikts, ka sistēmai ir jāatbilst vispārīgām tehniskām un drošības prasībām. Šīs vispārīgās prasības ir formulētas Ministru kabineta 2005. gada 11. oktobra noteikumos Nr. 765 "Valsts informācijas sistēmu vispārīgās drošības prasības"2 un noteikumos Nr. 764 "Valsts informācijas sistēmu vispārīgās tehniskās prasības".3 Noteikumi paredz, ka sistēmas tehniskajiem parametriem jābūt tādiem, kas nodrošina:
1) normatīvos paredzēto funkciju izpildi;
2) sistēmu drošību un attīstību;
3) sistēmu pārziņu sadarbību integrētā valsts informācijas sistēmā.
Noteikumu Nr. 764 3. punkts noteic, ka par sistēmas tehnisko prasību ievērošanu ir atbildīgs sistēmas pārzinis. Analoga prasība ir ietverta arī Noteikumu Nr. 765 3. punktā, kas nosaka, ka atbildīgā persona par sistēmu drošību ir sistēmas pārzinis.
Lai lasītu šo rakstu tālāk, Tev jābūt žurnāla abonentam.
Esošos abonentus lūdzam autorizēties:
Ja vēl neesi abonents, aicinām pievienoties lasītāju pulkam.
Iegūsi tūlītēju piekļuvi digitālajam saturam!
Piedāvājam trīs abonementu veidus. Vienam lietotājam piemērotākais ir "Mazais" (3, 6 un 12 mēnešiem).
Abonentu ieguvumi:
Eseja „Jurista Vārda” Domnīcā – brīvas formas, apjomā un tēmā neierobežotas pārdomas, kas vērstas tiesiskas domas un prakses attīstības virzienā.
Tā ir iespēja piedalīties juristavards.lv satura veidošanā, rosinot diskusiju par redzēto, dzirdēto vai domās apcerēto.