Лекция: Домарев

Собственник информационных ресурсов или уполномоченные им лица имеют право

условия доступа пользователей к информации.

Владелец документа, массива документов, информационных систем обеспечивает

уровень защиты информации в соответствии с законодательством.

Риск, связанный с использованием не сертифицированных информационных систем и

средств их обеспечения, лежит на собственнике (владельце) этих систем и

средств. Риск, связанный с использованием информации, полученной из не

сертифицированной системы, лежит на потребителе информации.

Защита прав субъектов в сфере формирования информационных ресурсов,

пользования ими, разработки, производства и применения информационных систем,

технологий и средств их обеспечения осуществляется в целях предупреждения

правонарушений, пресечения неправомерных действий, восстановления нарушенных

прав и возмещения причиненного ущерба.

Ответственность за нарушения международных норм и правил в области

формирования и использования информационных ресурсов, создания и

использования информационных систем, технологий и средств их обеспечения

возлагается на органы государственной власти, организации и на граждан в

соответствии с договорами, заключенными ими с зарубежными фирмами и другими

партнерами с учетом международных договоров.

Отказ в доступе к открытой информации или предоставление пользователям

заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Руководители и другие служащие органов государственной власти, организаций,

правонарушениях.

Однако ряд нормативных положений по защите информации в автоматизированных

системах, разработанных ранее, не соответствует современным требованиям и

современным информационным технологиям. Работы в этом направлении заметно

отстают от потребностей и носят однобокий характер (в основном сведены к

защите информации от утечки по техническим каналам перехвата).

Пока еще отсутствует нормативно-правовая и методическая база для построения

автоматизированных и вычислительных систем в защищенном исполнении, пригодных

для обработки секретной информации в государственных учреждениях и

коммерческих структурах.

При разработке средств защиты возникает ряд проблем правового характера:

использованием цифровой подписи в арбитражном суде.

Круг нормативных и концептуальных документов в области защиты информации

крайне ограничен, а имеющиеся документы не в полной мере отвечают современным

требованиям. Нормативно-правовые документы, содержащие термины и определения,

концепцию применения и алгоритмы выработки и проверки цифровой подписи

отсутствуют.

Преступление в компьютерной сфере

Развитие вычислительной техники и ее широкое применение государственными

органами и частными учреждениями привели к возникновению и распространению

так называемых компьютерных преступлений. Такое положение вызывает

беспокойство и в тех организациях, где применяется компьютерная техника, и в

органах поддержания правопорядка, и среди широких слоев населения,

пользующихся новыми видами информационного обслуживания.

Термин «компьютерная преступность» впервые был использован еще в

благодаря электронной обработке информации.

Выделяют следующие формы проявления компьютерной преступности: манипуляции с

ЭВМ, хищение машинного времени, экономический шпионаж, саботаж, компьютерное

вымогательство, деятельность «хакеров».

Под компьютерными манипуляциями подразумевается неправомочное изменение

содержимого носителя информации и программ, а также недопустимое вмешательство

в процесс обработки данных. Основные сферы компьютерных манипуляций таковы:

совершение покупок и кредитование (манипуляции с расчетами и платежами,

доставка товаров по ложному адресу); сбыт товара и счета дебиторов (уничтожение

счетов или условий, оговоренных в счетах, махинации с активами); расчеты

заработной платы (изменение отдельных статей начисления платежей, внесение в

платежную ведомость фиктивных лиц). Для компьютерных манипуляций характерны

некоторые особенности, обусловленные спецификой самого объекта преступных

действий. Например, используется возможность отладки программ, составленных с

преступными целями; многократная реализация однажды найденной возможности для

незаконных действий.

Вследствие простоты передачи программного обеспечения в сетях и машинах

возникает опасность заражения их компьютерным «вирусом», т.е. опасность

появления программ, способных присоединяться к другим программам машины и

нарушать ее работу.

Противозаконные манипуляции с системным программным обеспечением доступны

только узкому кругу специалистов-программистов. Значительно меньший объем

специальных знаний необходим для осуществления манипуляций с входными и

выходными данными. Такие неправомочные действия могут совершать даже лица, не

имеющие непосредственного отношения к информационной технике.

Наряду с непосредственным незаконным использованием информационных систем к

категории преступлений относятся также действия, связанные с

несанкционированным доступом к сети передачи информации и проведение

идентификационных процедур.

Незаконное получение информации может осуществляться и путем регистрации

электромагнитного излучения различных устройств, используемых в процессе ее

обработки.

Распространенным способом совершения компьютерных преступлений анализируемой

информация также может быть передана преступнику сотрудниками учреждения,

имеющими к ней доступ.

Компьютерный шпионаж преследует, как правило, экономические цели.

Преступления этой категории чаще всего совершаются для получения следующей

информации: программ обработки данных, результатов научных исследований,

конструкторской документации и калькуляции, сведений о стратегии сбыта

продукции и списков клиентов конкурирующих фирм, административных данных,

сведений о планах и о технологии производства.

Наиболее распространенная в настоящее время форма компьютерных преступлений -

деятельность хакеров, владельцев персональных компьютеров, незаконно

проникающих в информационные сети. Хакеры - это квалифицированные и

изобретательные программисты, занимающиеся разными видами компьютерных

махинаций, начиная с нарушений запретов на доступ к компьютерам в совокупности

с их несанкционированным использованием, вплоть до хищения секретных сведений.

Компьютерные преступления отличаются от обычных особенными пространственно-

временными характеристиками. Так, подобные деяния совершаются в течение

нескольких секунд, а пространственные ограничения оказываются полностью

устраненными. Лица, совершающие компьютерные преступления, также имеют свои

особенности: они, как правило, молоды, имеют высшее образование, знакомы с

методами раскрытия кодов и внедрения в компьютерные системы.

Как свидетельствует практика, один из важнейших способов повышения

2. Использование существующего законодательства.

Несмотря на то, что существующие уголовные законы достаточно гибки для

квалификации нарушений этого типа, однако социальные и технические изменения

создают все новые и новые проблемы, часть которых оказывается вне рамок любой

из нынешних правовых систем. Потому и «подготовка нормативно-правовых актов о

компьютерной безопасности исключительно сложна, поскольку связана с

технологией, опережающей нормотворческий процесс».

Развитие законодательства не всегда успевает за развитием техники и

преступным использованием ее последних достижений. Так, в существующем

законодательстве отсутствуют правовые нормы относительно преступлений,

совершаемых с помощью ЭВМ. Это порождает проблему: каким образом обвинять

преступников посредством обычных норм права.

В компьютерных преступлениях ЭВМ может быть как объектом, так и субъектом

преступления. В тех случаях, когда ЭВМ - объект преступления, т.е. ей

наносится материальный ущерб путем физического повреждения, не возникает

проблем с применением существующего законодательства. Но те случаи, когда ЭВМ

используется для совершения актов обмана, укрывательства или присвоения с

целью получения денег, услуг, собственности или деловых преимуществ,

представляют собой новые правовые ситуации.

Существует ряд характерных черт преступлений, связанных с использованием ЭВМ,

которые усложняют расследование и предъявление обвинения по ним. Помимо

юридических трудностей возникают и другие проблемы, с которыми может

столкнуться следствие. Среди них:

• сложность обнаружения преступлений, связанных с использованием ЭВМ;

• большая дальность действия современных средств связи делает возможным

внесение незаконных изменений в программу ЭВМ с помощью дистанционных

терминалов либо закодированных телефонных сигналов практически из любого

района;

• затруднения в понимании порядка работы ЭВМ в технологически сложных случаях;

• информация преступного характера, заложенная в память ЭВМ и служащая

доказательством для обвинения, может быть ликвидирована почти мгновенно;

• обычные методы финансовой ревизии в случае этих преступлений не применимы,

т.к. для передачи информации используются электронные импульсы, а не

финансовые документы.

В 1988 г. только в Европе было совершено четыре неудачных попытки

нелегального перевода денег с банковских счетов (потери в каждом из этих

случаев могли превысить сумму в 50 млн. дол.). Характерно, что все эти

попытки оказались неудачными только благодаря «чрезмерной жадности»

преступников. В Чикаго, например, 7 преступников решили похитить 70 млн. дол.

и были задержаны в тот момент, когда имели на своем счету более 49 млн. дол.

Кроме того, отмечается, что только 3 из 20 обнаруженных случаев

регистрируются в полицейской статистике, и только 1 из 33 зарегистрированных

случаев заканчивается вынесением обвинения. В целом наказание следует только

в одном из 22 тыс. компьютерных преступлений.

Согласно анализу более чем 3 тыс. досье таких преступлений, накопленных в

При этом некоторые западные аналитики утверждают, что обнаруживается только

1 из 100 компьютерных преступлений.

Средняя стоимость потерь одного компьютерного преступления оценивается в 450

тыс. дол. и значительно превышает средний ущерб от ограблений банков и

других видов преступлений (по данным ФБР, среди стоимость потерь от ограбления

банков в США составляет 3,2 тыс. дол. и от мошенничества - 23 тыс. дол Темпы

роста потерь от компьютерных злоупотреблений существенно зависят от видов

преступлений и мо1 достигать 430 тыс. дол. в год (как это наблюдалось в США в

1982 г., когда объем потерь от злоупотреблений) банковскими кредитными

карточками в течение 12 месяцев увеличился с 5,5 до 29 млн. дол.).

Большинство пострадавших обращаются в правоохранительные органы, если их

потери превышают 15-150 тыс. да и при этом только в 60-65 случаях обвиняемые

подпадают под действие существующего в США законодательства

Основным действующим лицом при совершении компьютерных преступлений в сфере

7% - руководители соответствующих компьютерных центров.

Существенно меняются и мотивы преступлений. На первый план выдвигаются

проблемы личного план (работа, борьба за сохранение положения и выживание

фирмы, месть, стремление к превосходству, ревность здоровье, физическая или

нравственная зависимость, увлечения, финансовый или семейный кризис,

стремление к самоутверждению и т.д.). Эту тенденцию отражает и официальная

статистика, согласно которой около 40% компьютерных преступлений совершается

для решения финансовых проблем, 20% мотивируется «интеллектуальным вызовом»

обществу, 17% - стремлением решить личные проблемы производственного

характера, 8% - проблемы корпорации или организации, 4% - стремлением к

общественному признанию, 3% -ущемлением прав и т.д.

Возникновение компьютерной преступности и масштабы ущерба вызвали

необходимость разработки законодательных норм, устанавливающих

ответственность за подобные действия. Все изложенное в полной мер относится и

к Российской Федерации, где взрыв компьютерной преступности сдерживается

только слабым развитием информатизации. Однако там, где вычислительная

техника используется широко, информационные преступления уже наблюдаются. В

качестве примера можно привести случай во Внешэкономбанке РФ где из-под учета

ЭВМ было выведено около 1 млн. дол., а 125 тыс. дол. - похищено.

Вместе с тем, отсутствие надежных защищенных автоматизированных систем

межбанковских расчете позволяет совершать массовые хищения денежных средств

(«дело о 30 миллиардах»).

Массовый характер приобрело распространение компьютерных вирусов. Внедрение

программы-вируса в технологическую АСУ Игналинской АЭС привело к аварийной

остановке реактора, что само по себе - серьезное нарушение ядерной

безопасности.

На первый взгляд кажется, что компьютерные преступления могут быть

расследованы в соответствии с традиционным законодательством, относящимся к

краже, растрате, нанесению вреда собственности и т.д. Однако несоответствие

традиционного уголовного законодательства в применении к этой новой форме

преступления становится очевидным, как только мы попытаемся установить

наличие всех элементов состава традиционного преступления, совершенных с

помощью ЭВМ. Например, если злоумышленник вошел в помещение, где расположена

ЭВМ, незаконно или с преступной целью, тогда закон может быть применен

традиционно. Если преступник вошел в помещение, где находится ЭВМ, для того,

чтобы причинить вред материальной части машины, украсть программу, то одно

лишь вторжение с незаконным намерением будет достаточным для предъявления

обвинения по делу. Однако, если лицо пытается получить доступ к данным,

внесенным в память ЭВМ для того, чтобы похитить ценную информацию, хранящуюся

в ЭВМ, предъявление обвинения, в соответствии с традиционным законом, вряд ли

будет возможным. Доступ может быть получен через дистанционный терминал,

установленный на дому у преступника или посредством секретного телефонного

кода. Такие нетрадиционные формы «вторжения» не предусмотрены законом. Также

не всегда возможно доказать, как того требует закон, что имело место какое-

либо изъятие собственности. Например, компьютерная программа может быть

«считана» с отдаленного компьютерного терминала. Такое изъятие не затрагивает

элементов материальной реализации ЭВМ и может даже не затронуть программное

обеспечение, т.к. закодированная информация может быть только списана (т.е.

скопирована) где-либо еще, по-прежнему оставаясь в ЭВМ. Требования обычного

права к такому составу преступления, как хищение, а именно, чтобы обязательно

имело место «изъятие», - неадекватно по отношению к современным методам

копирования и хищения информации, которые не изменяют оригинала и не изымают

его физически из владения.

До тех пор, пока не будет принят закон о защите информации и компьютерных

невозможно.

Принятие специального законодательства в отношении преступных действий,

связанных с компьютеризацией, даст ряд положительных результатов.

Во-первых, правоохранительные органы получат единообразное средство

взять на себя охрану прав клиентов-владельцев ЭВМ.

В-четвертых, принятие закона приведет к тому, что данные о компьютерных

преступлениях будут концентрироваться в одном каком-то органе, что позволит

не только иметь подробную статистику, но и создаст базу для научного анализа

компьютерных преступлений.

В пользу законодательства, направленного на борьбу с компьютерными

преступлениями говорит и тот факт, что государство опирается на

вычислительную технику, а выведение ее из строя грозит серьезными

последствиями во многих областях деятельности: экономической, финансовой,

военной и многих других.

Особенностью западного компьютерного права является то, что, как правило,

оно формируется по прецеденту и представляет собой в основном законодательные

акты прямого действия, принимаемые на государственном (Великобритания, Франция,

Германия) или федеративном и региональном уровнях (США).

Ответственность за правонарушения при работе с информацией, компьютерами и

компьютерной информацией устанавливается

В США:

Законом о безопасности компьютерных систем 1987 г.;

Законом о свободе информации;

Законом о соблюдении тайн 1974 г.;

Законом о защите вычислительных средств небольших фирм и образовании 1984 г.

В Канаде:

Законом о компьютерных и информационных преступлениях («Билль» С-18) 1985 г.

Законом об информатике, картотеках и свободах 1978 г. В Великобритании:

Законом о защите информации 1984 г.

В ФРГ:

Законом о дальнейшем развитии электронной обработки и о защите данных 1990 г.;

Федеральным законом о защите данных 1978 г.

Федеральный закон ФРГ об охране данных обязывает учреждения и организации

принимать необходимые технические и организационные меры по обеспечению

сохранности указанных в законе данных. Действие закона не распространяется на

Страницы: 1, 2, 3, 4