27. Septembris 2011 /NR. 39 (686)
Skaidrojumi. Viedokļi
Nodarījumi pret informācijas sistēmu drošību
2
Krimināllikuma piemērošanas problēmas
Asoc.prof. Dr.iur
Uldis Ķinis
Satversmes tiesas tiesnesis 

Pēdējā laikā gan IT speciālistu, gan juristu un pat politiķu aprindās notiek diskusijas par Valsts informācijas sistēmu drošības problēmām. Nesenajā Satiksmes ministrijas organizētajā sanāksmē tika analizēta arī Krimināllikuma piemērošanas efektivitāte nodarījumos pret informācijas sistēmu drošību (turpmāk – ISD). Tika uzsvērts, ka nereti personas, kas izdarījušas nodarījumus pret informācijas sistēmu drošību, netiek sauktas pie atbildības. Diskusijā tika analizēti arī vairāki iemesli šādai situācijai. Raksta mērķis ir izvērtēt iespējamo problēmu spektru, kas saistīts ar krimināltiesību piemērošanas efektivitāti noziedzīgu nodarījumu gadījumos, kas vērsti pret ISD. Nodarījumu pret ISD priekšmets vienmēr ir automatizētās datu apstrādes sistēmas (turpmāk – ADAS).

1. Automatizētās datu apstrādes sistēmas jēdziens

Valsts krimināltiesisko jurisdikciju attiecina uz visām teritorijā esošajām fiziskām un juridiskām personām un viņu mantu, tajā skaitā uz ADAS. Tomēr jāatzīst, ka saistībā ar e-apdraudējumiem neviena valsts pasaulē nespēj nodrošināt vienādu tiesiskās aizsardzības režīmu visām valstī esošajām ADAS un to lietotājiem. Tāpēc, izstrādājot kiberapdraudējumu apkarošanas stratēģijas, valstis ADAS iedala pēc to piederības, izveides mērķa vērtības un iespējamā apdraudējuma sociālā kaitīguma pakāpes. Tādējādi valsts racionāli plāno savu krimināltiesisko resursu izmantošanu un paredz īpašu aizsardzības režīmu un atbildību par apdraudējumiem tādām ADAS, kuras izveidotas ar mērķi apstrādāt valsts drošībai (ekonomiskajai, politiskajai, militārajai u. c.) svarīgu informāciju: ADAS, kas apstrādā fizisko personu datus, ADAS, kas apstrādā ierobežotas pieejamības informāciju, u. c. Savukārt citu ADAS apdraudējumu gadījumā kaitīguma slieksnis ir ievērojami zemāks un līdz ar to samērīgai jābūt arī atbildībai.

Viena no šādām sistēmu grupām, kurai ir nepieciešama īpaša aizsardzība, ir Valsts informācijas sistēma (turpmāk – VIS). Šāds mērķis bija arī likumdevējam, nosakot Krimināllikumā, ka nodarījumi, kas veikti pret Valsts informācijas sistēmām, ir vērtējami kā nodarījumi ar ievērojami augstāku kaitīguma pakāpi nekā nodarījumi, kas vērsti pret citām ADAS. Lai apdraudējuma priekšmetu atzītu par ADAS, tam ir jāatbilst šādām pazīmēm:

1) ierīcei vai ierīču grupai ir jābūt savienotai ar elektroniskajiem tīkliem;

2) ierīcei vai ierīču grupai ir jābūt tādai, kas paredzēta automatizētai datu apstrādei;

3) par šādām sistēmām nevar tikt atzītas ierīces, kuras, kaut arī tām ir zināmas automatizēto datu apstrādes funkcijas, tomēr ir paredzētas citiem mērķiem, piemēram, spēļu automāti, taksofoni, sadzīves un virtuves iekārtas, automašīnās ievietotās elektroniskās ierīces, kas var tikt savienotas ar dažādu pamatierīces darbībai nepieciešamu mezglu kontroli, un datorsistēmas, ja tās nav savienotas ar tīkliem, u. c. Šādu ierīču pamatfunkcijas nav saistītas ar automatizētu datu apstrādi un informācijas apriti. Tāpēc darbības, kad fiziski tiek ietekmētas šādas ierīces, ir kvalificējamas kā tradicionālie nodarījumi, piemēram, zādzība, krāpšana. Tādējādi pamatnosacījums, lai nodarījumu kvalificētu kā apdraudējumu, kas ir vērsts pret informācijas sistēmu drošību vai saistīts ar krāpšanu ADAS, ir konstatēt, vai priekšmets vai nozieguma rīks atbilst ADAS jēdzienam. Tā kā mēs analizējam apdraudējumus, kas vērsti pret VIS, tad svarīgi ir konstatēt, vai VIS atbilst automatizētās datu apstrādes pazīmēm.

 

2. Valsts informācijas sistēmas jēdziens

Valsts informācijas sistēmu likuma1 1. panta 1. punkts noteic, ka "valsts informācijas sistēma ir strukturizēts informācijas tehnoloģiju un datubāzu kopums, kuru lietojot tiek nodrošināta valsts funkciju izpildei nepieciešamās informācijas ierosināšana, radīšana, apkopošana, uzkrāšana, apstrādāšana, izmantošana un iznīcināšana (turpmāk – informācijas aprite)". Likumā ietvertā definīcija expresis verbis nepasaka, ka VIS ir automatizēta datu apstrāde sistēma. Tomēr, analizējot likuma tekstu, secināms, ka VIS pilnīgi atbilst visām ADAS pazīmēm. Līdz ar to VIS ir atzīstama par ADAS.

Problemātiskāks jautājums ir par likumā noteiktajiem piederības kritērijiem, lai ADAS identificētu par VIS. Diskutējot par šo jautājumu ar Satiksmes ministrijas, Vides un reģionālās attīstības ministrijas (turpmāk – VARAM) speciālistiem, izrādās, ka viedokļi, kas ir uzskatāma par VIS, atšķiras. Piemēram, Satiksmes ministrijas eksperti uzskata, ka VIS ir tās sistēmas, kas ir reģistrētas VIS reģistrā, jo citādi šim reģistram nebūtu juridiskas nozīmes. Savukārt VARAM eksperti uzskata, ka par VIS atzīstama jebkura sistēma, kura atbilst Valsts informācijas sistēmu likuma 3. panta pirmās un otrās daļas kritērijiem. Tajā pašā laikā VARAM eksperti atzina, ka likumā izmantotie kritēriji ir ļoti plaši un nekonkrēti. Šobrīd valstī neviens nevar pateikt, cik šādu sistēmu valstī funkcionē un vai pamatfunkcijas, ko tās izpilda, ir saistītas ar valsti un pašvaldībām. Daudzi sistēmu īpašnieki, cenšoties izvairīties pildīt Valsts informācijas sistēmu likuma prasības un attiecīgos Ministru kabineta noteikumus, kas noteic papildprasības šīm sistēmām, aizbildinās, ka viņu valdījumā esošās ADAS nav saistītas ar šādu funkciju pildīšanu, līdz ar to neatbilst VIS statusam. Tāpēc no valsts puses zināma kontrole ir iespējama tikai par tām sistēmām, kas ir reģistrētas VIS reģistrā, bet tās ir tikai 173 sistēmas.

VIS sistēmu identifikācijai likumdevējs noteicis pamatprasību, ka tām ir jābūt saistītām ar informācijas apriti, kas paredzēta normatīvajos aktos un Latvijai saistošajos starptautiskajos līgumos noteikto funkciju izpildei. Savukārt kā papildu prasība ir noteikts, ka sistēmai ir jāatbilst vispārīgām tehniskām un drošības prasībām. Šīs vispārīgās prasības ir formulētas Ministru kabineta 2005. gada 11. oktobra noteikumos Nr. 765 "Valsts informācijas sistēmu vispārīgās drošības prasības"2 un noteikumos Nr. 764 "Valsts informācijas sistēmu vispārīgās tehniskās prasības".3 Noteikumi paredz, ka sistēmas tehniskajiem parametriem jābūt tādiem, kas nodrošina:

1) normatīvos paredzēto funkciju izpildi;

2) sistēmu drošību un attīstību;

3) sistēmu pārziņu sadarbību integrētā valsts informācijas sistēmā.

Noteikumu Nr. 764 3. punkts noteic, ka par sistēmas tehnisko prasību ievērošanu ir atbildīgs sistēmas pārzinis. Analoga prasība ir ietverta arī Noteikumu Nr. 765 3. punktā, kas nosaka, ka atbildīgā persona par sistēmu drošību ir sistēmas pārzinis.

ABONĒ 2025.GADAM!
Trīs iespējas Tavai izvēlei: mazais, vidējais un lielais abonements!
2 KOMENTĀRI
TAVA ATBILDE :
VĀRDS
3000
IENĀKT:
KOMENTĒŠANAS NOTEIKUMI
A.S.
28. Septembris 2011 / 13:34
0
ATBILDĒT
No juridiskās tehnikas viedokļa raugoties - kāpēc tik būtiskas normas, no kurām ir tiešu atkarīga normu piemērošana, ir SPĒKĀ STĀŠANĀS likumā, nevis pašā Krimināllikumā? Spēkā stāšanās likumos nosaka tikai pārejas perioda noteikumus, bet ne jau šādus svarīgus jautājumus, kuriem nav sakara ar pārejas periodu.
Piesta
27. Septembris 2011 / 08:48
0
ATBILDĒT
Visam varētu piekrist, tomēr vēlētos komentārus arī no citiem tiesību normu zintniekiem.



Manuprāt likuma \\\"Par Krimināllikuma spēkā stāšanās laiku un kārtību\\\" 23.panta 1.daļa skaidri un gaiši tiešā imperatīvā manierē nosaka to, ka būtisks kaitējums ir:



1) KUMULATĪVU priekšnoteikumu kopums, kas sevī ietver: a) ne vien ievērojamu mantisku zaudējumu, bet arī b) apdraudētas vēl citas intereses ar likumu aizsargātās intereses un tiesības;



vai arī



2) apdraudējums ir ievērojams.



Likumā ir skaidri noteikts, ka bez mantiskā zaudējuma esamības ir arī jākonstatē ARĪ apdraudētas vēl citas intereses un tiesības, nevis pietiek konstatēt apdraudētas vairākas kādas ar likumu aizsargātas intereses un tiesības, tad ar to arī pietiek, lai šo būtisko kaitējumu konstatētu.



Varbūt es nemāku lasīt?



Nepretendēju uz krimināltiesību eksperta statusu, tomēr mani skolā mācīja, ka krimināltiesības ir jātulko šauri, tā, kā tas ir norādīts likumā. Krimināltiesībās nevar sagrozīt acīmredzami imperatīvu tiesību normu savādāk un nodarboties ar tiesību tālākveidošanu.
komentēt
Pievienot rakstu mapē
Pievienot citātu mapei
Pievienot piezīmi rakstam
Drukāt
ienākt ar
JURISTA VĀRDS
Abonentiem! Ieiet šeit
GOOGLE
DRAUGIEM.LV
reģistrēties
autorizēties