Домарев

• предотвращение несанкционированных действий по уничтожению,

модификации, искажению, копированию, блокированию информации;

• предотвращение других форм незаконного вмешательства в

информационные ресурсы и информационные системы;

• обеспечение правового режима документированной информации как

объекта собственности;

• защита конституционных прав граждан на сохранение личной тайны и

конфиденциальности персональных данных, имеющихся в информационных

системах;

• сохранение государственной тайны, конфиденциальности

документированной информации в соответствии с законодательством;

• гарантия прав субъектов в информационных процессах и при разработке,

производстве и применении информационных систем, технологий и средств их

обеспечения.

Защите подлежит любая документированная информация, неправомерное

обращение с которой может нанести ущерб ее собственнику, владельцу,

пользователю и иному лицу.

Контроль за соблюдением требований к защите информации и эксплуатацией

специальных программно-технических средств защиты, а также обеспечение

организационных мер защиты информационных систем, обрабатывающих информацию

с ограниченным доступом в негосударственных структурах, осуществляются

органами государственной власти.

Организации, обрабатывающие информацию с ограниченным доступом,

которая является собственностью государства, создают специальные службы,

обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют

право осуществлять контроль за выполнением требований по защите информации

и запрещать или приостанавливать обработку информации в случае невыполнения

этих требований. Собственник или владелец документированной информации

вправе обращаться в органы государственной власти для оценки правильности

выполнения норм и требований по защите его информации в информационных

системах.

Собственник документа, массива документов, информационных систем или

уполномоченные им лица в соответствии с законом устанавливают порядок

предоставления пользователю информации с указанием места, времени,

ответственных должностных лиц, а также необходимых процедур и обеспечивают

условия доступа пользователей к информации.

Владелец документа, массива документов, информационных систем

обеспечивает уровень защиты информации в соответствии с законодательством.

Риск, связанный с использованием не сертифицированных информационных

систем и средств их обеспечения, лежит на собственнике (владельце) этих

систем и средств. Риск, связанный с использованием информации, полученной

из не сертифицированной системы, лежит на потребителе информации.

Защита прав субъектов в сфере формирования информационных ресурсов,

пользования ими, разработки, производства и применения информационных

систем, технологий и средств их обеспечения осуществляется в целях

предупреждения правонарушений, пресечения неправомерных действий,

восстановления нарушенных прав и возмещения причиненного ущерба.

Ответственность за нарушения международных норм и правил в области

формирования и использования информационных ресурсов, создания и

использования информационных систем, технологий и средств их обеспечения

возлагается на органы государственной власти, организации и на граждан в

соответствии с договорами, заключенными ими с зарубежными фирмами и другими

партнерами с учетом международных договоров.

Отказ в доступе к открытой информации или предоставление пользователям

заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Руководители и другие служащие органов государственной власти,

организаций, виновные в незаконном ограничении доступа к информации и

нарушении режима защиты информации, несут ответственность в соответствии с

уголовным, гражданским законодательством и законодательством об

административных правонарушениях.

Однако ряд нормативных положений по защите информации в

автоматизированных системах, разработанных ранее, не соответствует

современным требованиям и современным информационным технологиям. Работы в

этом направлении заметно отстают от потребностей и носят однобокий характер

(в основном сведены к защите информации от утечки по техническим каналам

перехвата).

Пока еще отсутствует нормативно-правовая и методическая база для

построения автоматизированных и вычислительных систем в защищенном

исполнении, пригодных для обработки секретной информации в государственных

учреждениях и коммерческих структурах.

При разработке средств защиты возникает ряд проблем правового

характера:

1. Лицензирование деятельности по разработке программно-аппаратных

средств цифровой подписи. Система лицензирования направлена на создание

условий, при которых право заниматься защитой информации предоставлено

только организациям, имеющим на этот вид деятельности соответствующее

разрешение (лицензию).

2. Сертификация программно-аппаратных средств с функциями защиты.

3. Система сертификации направлена на защиту потребителя от

недобросовестного исполнителя. В настоящее время фактически отсутствуют

организационно-технические и организационно-методические документы по

сертификации средств и комплексов защиты информации, в том числе связанных

с криптографическими методами защиты.

3. Соответствие разрабатываемых средств защиты концептуальным

требованиям к защите, стандартам и другим нормативным документам.

4. Отсутствие нормативно-правового обеспечения для решения спорных

ситуаций с использованием цифровой подписи в арбитражном суде.

Круг нормативных и концептуальных документов в области защиты

информации крайне ограничен, а имеющиеся документы не в полной мере

отвечают современным требованиям. Нормативно-правовые документы, содержащие

термины и определения, концепцию применения и алгоритмы выработки и

проверки цифровой подписи отсутствуют.

Преступление в компьютерной сфере

Развитие вычислительной техники и ее широкое применение

государственными органами и частными учреждениями привели к возникновению и

распространению так называемых компьютерных преступлений. Такое положение

вызывает беспокойство и в тех организациях, где применяется компьютерная

техника, и в органах поддержания правопорядка, и среди широких слоев

населения, пользующихся новыми видами информационного обслуживания.

Термин «компьютерная преступность» впервые был использован еще в

начале 70-х годов. Однако до настоящего времени продолжается дискуссия о

том, какие противозаконные действия подразумеваются под ним. Было

предложено ряд уголовно-правовых определений компьютерной преступности.

Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ,

включающее в себя целую серию незаконных актов, совершаемых либо с помощью

системы электронной обработки данных, либо против нее. Другие под

компьютерной преступностью подразумевают любое деяние, влекущее незаконное

вмешательство в имущественные права, возникающее в связи с использованием

ЭВМ. Третьи вкладывают в это определение все преднамеренные и

противозаконные действия, которые приводят к нанесению ущерба имуществу,

совершение которых стало возможным, прежде всего, благодаря электронной

обработке информации.

Выделяют следующие формы проявления компьютерной преступности:

манипуляции с ЭВМ, хищение машинного времени, экономический шпионаж,

саботаж, компьютерное вымогательство, деятельность «хакеров».

Под компьютерными манипуляциями подразумевается неправомочное

изменение содержимого носителя информации и программ, а также недопустимое

вмешательство в процесс обработки данных. Основные сферы компьютерных

манипуляций таковы: совершение покупок и кредитование (манипуляции с

расчетами и платежами, доставка товаров по ложному адресу); сбыт товара и

счета дебиторов (уничтожение счетов или условий, оговоренных в счетах,

махинации с активами); расчеты заработной платы (изменение отдельных статей

начисления платежей, внесение в платежную ведомость фиктивных лиц). Для

компьютерных манипуляций характерны некоторые особенности, обусловленные

спецификой самого объекта преступных действий. Например, используется

возможность отладки программ, составленных с преступными целями;

многократная реализация однажды найденной возможности для незаконных

действий.

Вследствие простоты передачи программного обеспечения в сетях и

машинах возникает опасность заражения их компьютерным «вирусом», т.е.

опасность появления программ, способных присоединяться к другим программам

машины и нарушать ее работу.

Противозаконные манипуляции с системным программным обеспечением

доступны только узкому кругу специалистов-программистов. Значительно

меньший объем специальных знаний необходим для осуществления манипуляций с

входными и выходными данными. Такие неправомочные действия могут совершать

даже лица, не имеющие непосредственного отношения к информационной технике.

Наряду с непосредственным незаконным использованием информационных

систем к категории преступлений относятся также действия, связанные с

несанкционированным доступом к сети передачи информации и проведение

идентификационных процедур.

Незаконное получение информации может осуществляться и путем

регистрации электромагнитного излучения различных устройств, используемых в

процессе ее обработки.

Распространенным способом совершения компьютерных преступлений

анализируемой категории является незаконный доступ в информационные

системы. Для его осуществления преступник должен располагать следующими

исходными данными: телефонным номером подключения к системе, процедурой

заявки, ключевым словом, номером счета. Номер телефонного подключения к

информационной системе чаще всего имеется в телефонной книге для

внутреннего пользования организации. Данный номер может быть передан

преступнику сотрудниками этой организации или идентифицирован

правонарушителем с помощью программы поиска. Остальная исходная информация

также может быть передана преступнику сотрудниками учреждения, имеющими к

ней доступ.

Компьютерный шпионаж преследует, как правило, экономические цели.

Преступления этой категории чаще всего совершаются для получения следующей

информации: программ обработки данных, результатов научных исследований,

конструкторской документации и калькуляции, сведений о стратегии сбыта

продукции и списков клиентов конкурирующих фирм, административных данных,

сведений о планах и о технологии производства.

Наиболее распространенная в настоящее время форма компьютерных

преступлений - деятельность хакеров, владельцев персональных компьютеров,

незаконно проникающих в информационные сети. Хакеры - это квалифицированные

и изобретательные программисты, занимающиеся разными видами компьютерных

махинаций, начиная с нарушений запретов на доступ к компьютерам в

совокупности с их несанкционированным использованием, вплоть до хищения

секретных сведений.

Компьютерные преступления отличаются от обычных особенными

пространственно-временными характеристиками. Так, подобные деяния

совершаются в течение нескольких секунд, а пространственные ограничения

оказываются полностью устраненными. Лица, совершающие компьютерные

преступления, также имеют свои особенности: они, как правило, молоды, имеют

высшее образование, знакомы с методами раскрытия кодов и внедрения в

компьютерные системы.

Как свидетельствует практика, один из важнейших способов повышения

эффективности борьбы с компьютерной преступностью - создание надлежащей

правовой основы для преследования в уголовном порядке лиц, виновных в

преступлениях такого рода. В настоящее время развитие правовой основы для

борьбы с преступлениями, объектом которых является «интеллектуальный»

элемент ЭВМ, идет в следующих направлениях:

1. Создание уголовно-правовых норм, предусматривающих раздельную

защиту программного обеспечения ЭВМ и баз данных, а также «осязаемых»

элементов электронно-вычислительных систем;

2. Использование существующего законодательства.

Несмотря на то, что существующие уголовные законы достаточно гибки для

квалификации нарушений этого типа, однако социальные и технические

изменения создают все новые и новые проблемы, часть которых оказывается вне

рамок любой из нынешних правовых систем. Потому и «подготовка нормативно-

правовых актов о компьютерной безопасности исключительно сложна, поскольку

связана с технологией, опережающей нормотворческий процесс».

Развитие законодательства не всегда успевает за развитием техники и

преступным использованием ее последних достижений. Так, в существующем

законодательстве отсутствуют правовые нормы относительно преступлений,

совершаемых с помощью ЭВМ. Это порождает проблему: каким образом обвинять

преступников посредством обычных норм права.

В компьютерных преступлениях ЭВМ может быть как объектом, так и

субъектом преступления. В тех случаях, когда ЭВМ - объект преступления,

т.е. ей наносится материальный ущерб путем физического повреждения, не

возникает проблем с применением существующего законодательства. Но те

случаи, когда ЭВМ используется для совершения актов обмана, укрывательства

или присвоения с целью получения денег, услуг, собственности или деловых

преимуществ, представляют собой новые правовые ситуации.

Существует ряд характерных черт преступлений, связанных с

использованием ЭВМ, которые усложняют расследование и предъявление

обвинения по ним. Помимо юридических трудностей возникают и другие

проблемы, с которыми может столкнуться следствие. Среди них:

• сложность обнаружения преступлений, связанных с использованием ЭВМ;

• большая дальность действия современных средств связи делает

возможным внесение незаконных изменений в программу ЭВМ с помощью

дистанционных терминалов либо закодированных телефонных сигналов

практически из любого района;

• затруднения в понимании порядка работы ЭВМ в технологически сложных

случаях;

• информация преступного характера, заложенная в память ЭВМ и служащая

доказательством для обвинения, может быть ликвидирована почти мгновенно;

• обычные методы финансовой ревизии в случае этих преступлений не

применимы, т.к. для передачи информации используются электронные импульсы,

а не финансовые документы.

В 1988 г. только в Европе было совершено четыре неудачных попытки

нелегального перевода денег с банковских счетов (потери в каждом из этих

случаев могли превысить сумму в 50 млн. дол.). Характерно, что все эти

попытки оказались неудачными только благодаря «чрезмерной жадности»

преступников. В Чикаго, например, 7 преступников решили похитить 70 млн.

дол. и были задержаны в тот момент, когда имели на своем счету более 49

млн. дол.

Кроме того, отмечается, что только 3 из 20 обнаруженных случаев

регистрируются в полицейской статистике, и только 1 из 33

зарегистрированных случаев заканчивается вынесением обвинения. В целом

наказание следует только в одном из 22 тыс. компьютерных преступлений.

Согласно анализу более чем 3 тыс. досье таких преступлений,

накопленных в международном институте SRI interational известным экспертом

в данной области Доном Паркером (организатором international information

integnity institut), компьютеры, данные и программы могут быть: а)объектом

нападения; б)объектом совершения преступления; в) средством подготовки

преступлений; г) средством запугивания или обмана. С учетом темпов

компьютеризации общества, а также масштабов и возможностей компьютерных

злоупотреблений можно полагать, что к 2000 г. практически все преступления

в деловой сфере будут совершаться при помощи компьютеров, а ущерб от

компьютерной преступности будет расти экспоненциально, возможно, при

некоторой стабилизации числа таких преступлений. При этом некоторые

западные аналитики утверждают, что обнаруживается только 1 из 100

компьютерных преступлений.

Средняя стоимость потерь одного компьютерного преступления оценивается

в 450 тыс. дол. и значительно превышает средний ущерб от ограблений банков

и других видов преступлений (по данным ФБР, среди стоимость потерь от

ограбления банков в США составляет 3,2 тыс. дол. и от мошенничества - 23

тыс. дол Темпы роста потерь от компьютерных злоупотреблений существенно

зависят от видов преступлений и мо1 достигать 430 тыс. дол. в год (как это

наблюдалось в США в 1982 г., когда объем потерь от злоупотреблений)

банковскими кредитными карточками в течение 12 месяцев увеличился с 5,5 до

29 млн. дол.).

Большинство пострадавших обращаются в правоохранительные органы, если

их потери превышают 15-150 тыс. да и при этом только в 60-65 случаях

обвиняемые подпадают под действие существующего в США законодательства

Основным действующим лицом при совершении компьютерных преступлений в

сфере бизнеса становятся высокообразованные «белые воротнички» из числа

сотрудников пострадавших организаций. По данным MIS Traiding institut

(США), на их долю приходится 63% всех случаев рассматриваемых преступлений

и злоупотреблений. Более чем 36% нарушивших закон сотрудников относится к

категории не руководящего персонала, не связанного непосредственно с

обслуживанием и эксплуатацией компьютеров, 29%-профессиональные

программисты, 25% - прочие сотрудники вычислительных центров обслуживающий

персонал, операторы ЭВМ и пр., 7% - руководители соответствующих

компьютерных центров.

Существенно меняются и мотивы преступлений. На первый план выдвигаются

проблемы личного план (работа, борьба за сохранение положения и выживание

фирмы, месть, стремление к превосходству, ревность здоровье, физическая или

нравственная зависимость, увлечения, финансовый или семейный кризис,

стремление к самоутверждению и т.д.). Эту тенденцию отражает и официальная

статистика, согласно которой около 40% компьютерных преступлений

совершается для решения финансовых проблем, 20% мотивируется

«интеллектуальным вызовом» обществу, 17% - стремлением решить личные

проблемы производственного характера, 8% - проблемы корпорации или

организации, 4% - стремлением к общественному признанию, 3% -ущемлением

прав и т.д.

Возникновение компьютерной преступности и масштабы ущерба вызвали

необходимость разработки законодательных норм, устанавливающих

ответственность за подобные действия. Все изложенное в полной мер относится

и к Российской Федерации, где взрыв компьютерной преступности сдерживается

только слабым развитием информатизации. Однако там, где вычислительная

техника используется широко, информационные преступления уже наблюдаются. В

качестве примера можно привести случай во Внешэкономбанке РФ где из-под

учета ЭВМ было выведено около 1 млн. дол., а 125 тыс. дол. - похищено.

Вместе с тем, отсутствие надежных защищенных автоматизированных систем

межбанковских расчете позволяет совершать массовые хищения денежных средств

(«дело о 30 миллиардах»).

Массовый характер приобрело распространение компьютерных вирусов.

Внедрение программы-вируса в технологическую АСУ Игналинской АЭС привело к

аварийной остановке реактора, что само по себе - серьезное нарушение

ядерной безопасности.

На первый взгляд кажется, что компьютерные преступления могут быть

расследованы в соответствии с традиционным законодательством, относящимся к

краже, растрате, нанесению вреда собственности и т.д. Однако несоответствие

традиционного уголовного законодательства в применении к этой новой форме

преступления становится очевидным, как только мы попытаемся установить

наличие всех элементов состава традиционного преступления, совершенных с

помощью ЭВМ. Например, если злоумышленник вошел в помещение, где

расположена ЭВМ, незаконно или с преступной целью, тогда закон может быть

применен традиционно. Если преступник вошел в помещение, где находится ЭВМ,

для того, чтобы причинить вред материальной части машины, украсть

программу, то одно лишь вторжение с незаконным намерением будет достаточным

для предъявления обвинения по делу. Однако, если лицо пытается получить

доступ к данным, внесенным в память ЭВМ для того, чтобы похитить ценную

информацию, хранящуюся в ЭВМ, предъявление обвинения, в соответствии с

традиционным законом, вряд ли будет возможным. Доступ может быть получен

через дистанционный терминал, установленный на дому у преступника или

посредством секретного телефонного кода. Такие нетрадиционные формы

«вторжения» не предусмотрены законом. Также не всегда возможно доказать,

как того требует закон, что имело место какое-либо изъятие собственности.

Например, компьютерная программа может быть «считана» с отдаленного

компьютерного терминала. Такое изъятие не затрагивает элементов

материальной реализации ЭВМ и может даже не затронуть программное

обеспечение, т.к. закодированная информация может быть только списана (т.е.

скопирована) где-либо еще, по-прежнему оставаясь в ЭВМ. Требования обычного

права к такому составу преступления, как хищение, а именно, чтобы

обязательно имело место «изъятие», - неадекватно по отношению к современным

методам копирования и хищения информации, которые не изменяют оригинала и

не изымают его физически из владения.

До тех пор, пока не будет принят закон о защите информации и

Страницы: 1, 2, 3, 4