Домарев

пользователей, создает определенный риск в плане безопасности, поскольку не

все клиенты будут выполнять требования по ее обеспечению.

Порядок хранения носителей информации должен быть четко определен в

соответствующем правовом акте и предусматривать полную сохранность

носителей информации, удобство отыскания необходимых носителей контроль за

работой с информацией, ответственность за несанкционированный доступ к

носителям информации с целью снятия с них копий, изменения или разрушения и

т.д.

Можно скрыто получить доступ к информационным архивам, которые

концентрируются в одно месте в больших объемах. Кроме того, появилась

возможность дистанционного получения информации через терминалы,

расположенные в удалении от мест хранения данных. Поэтому для защиты

информации требуются принципиально новые методы и средства, разработанные с

учетом ценности информации, условий работы, технических и программных

возможностей ЭВМ и других средств сбора, передачи и обработки данных.

Особые мероприятия защиты необходимы, когда ресурсы ЭВМ используются

несколькими абонентами через терминалы в многопрограммном режиме и в режиме

разделения времени.

В этой главе возникает ряд правовых проблем, связанных с массивами

информации, сконцентрированных в банках данных, и знаний, представляющих

собой общественную и национальную ценность, а их содержание - национальный

секрет. Использование такой информации не по назначению наносит

значительный ущерб как обществу в целом, так и отдельной личности.

Уместно обратить внимание на правовые аспекты защиты информации,

которые могут возникнуть при недостаточно продуманном или злонамеренном

использовании электронно-вычислительной техники. К ним относятся:

1. Правовые вопросы защиты массивов информации от искажений и

установления юридической ответственности по обеспечению сохранности

информации. 2. Юридические и технические вопросы зашиты хранящейся

информации от несанкционированного доступа к ней, исключающие возможность

неправомерного использования ее.

3. Установление юридически закрепленных норм и методов защиты

авторских прав и приоритетов разработчиков программного продукта.

4. Разработка мероприятий по приданию юридической силы документам,

выдаваемым машинами, и формирование юридических норм, определяющих лиц,

ответственных за доброкачественность других документов.

5. Правовая защита интересов экспертов, передающих свои знания в фонды

банков данных.

6. Установление правовых норм и юридической ответственности за

использование электронно-вычислительных средств в личных интересах,

противоречащих интересам других личностей и общества и могущих нанести им

вред.

Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и

производственная дисциплина персонала, доступ посторонних лиц к

вычислительным ресурсам создает условия для злоупотреблений и вызывает

трудности их обнаружения.

В каждом вычислительном центре принято устанавливать и строго

соблюдать регламент доступа в различные служебные помещения для разных

категорий сотрудников.

Степень защиты информации от неправомерного доступа и противозаконных

действий зависит от качества разработки организационных мер, направленных

на исключение:

• доступа к аппаратуре обработки информации;

• бесконтрольного выноса персоналом различных носителей информации;

• несанкционированного введения данных в память, изменения или

стирания хранящейся в ней информации;

• незаконного пользования системами обработки информации и полученными

данными;

• доступа в системы обработки информации посредством самодельных

устройств;

• неправомочной передачи данных по каналам связи из информационно-

вычислительного центра;

• бесконтрольный ввод данных в систему;

• обработка данных по заказу без соответствующего требования

заказчика;

• неправомочное считывание, изменение или стирание данных в процессе

их передачи или транспортировки носителей информации.

Целью защиты информации является:

• предотвращение утечки, хищения, утраты, искажения, подделки

информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению,

модификации, искажению, копированию, блокированию информации;

• предотвращение других форм незаконного вмешательства в

информационные ресурсы и информационные системы;

• обеспечение правового режима документированной информации как

объекта собственности;

• защита конституционных прав граждан на сохранение личной тайны и

конфиденциальности персональных данных, имеющихся в информационных

системах;

• сохранение государственной тайны, конфиденциальности

документированной информации в соответствии с законодательством;

• гарантия прав субъектов в информационных процессах и при разработке,

производстве и применении информационных систем, технологий и средств их

обеспечения.

Защите подлежит любая документированная информация, неправомерное

обращение с которой может нанести ущерб ее собственнику, владельцу,

пользователю и иному лицу.

Контроль за соблюдением требований к защите информации и эксплуатацией

специальных программно-технических средств защиты, а также обеспечение

организационных мер защиты информационных систем, обрабатывающих информацию

с ограниченным доступом в негосударственных структурах, осуществляются

органами государственной власти.

Организации, обрабатывающие информацию с ограниченным доступом,

которая является собственностью государства, создают специальные службы,

обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют

право осуществлять контроль за выполнением требований по защите информации

и запрещать или приостанавливать обработку информации в случае невыполнения

этих требований. Собственник или владелец документированной информации

вправе обращаться в органы государственной власти для оценки правильности

выполнения норм и требований по защите его информации в информационных

системах.

Собственник документа, массива документов, информационных систем или

уполномоченные им лица в соответствии с законом устанавливают порядок

предоставления пользователю информации с указанием места, времени,

ответственных должностных лиц, а также необходимых процедур и обеспечивают

условия доступа пользователей к информации.

Владелец документа, массива документов, информационных систем

обеспечивает уровень защиты информации в соответствии с законодательством.

Риск, связанный с использованием не сертифицированных информационных

систем и средств их обеспечения, лежит на собственнике (владельце) этих

систем и средств. Риск, связанный с использованием информации, полученной

из не сертифицированной системы, лежит на потребителе информации.

Защита прав субъектов в сфере формирования информационных ресурсов,

пользования ими, разработки, производства и применения информационных

систем, технологий и средств их обеспечения осуществляется в целях

предупреждения правонарушений, пресечения неправомерных действий,

восстановления нарушенных прав и возмещения причиненного ущерба.

Ответственность за нарушения международных норм и правил в области

формирования и использования информационных ресурсов, создания и

использования информационных систем, технологий и средств их обеспечения

возлагается на органы государственной власти, организации и на граждан в

соответствии с договорами, заключенными ими с зарубежными фирмами и другими

партнерами с учетом международных договоров.

Отказ в доступе к открытой информации или предоставление пользователям

заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Руководители и другие служащие органов государственной власти,

организаций, виновные в незаконном ограничении доступа к информации и

нарушении режима защиты информации, несут ответственность в соответствии с

уголовным, гражданским законодательством и законодательством об

административных правонарушениях.

Однако ряд нормативных положений по защите информации в

автоматизированных системах, разработанных ранее, не соответствует

современным требованиям и современным информационным технологиям. Работы в

этом направлении заметно отстают от потребностей и носят однобокий характер

(в основном сведены к защите информации от утечки по техническим каналам

перехвата).

Пока еще отсутствует нормативно-правовая и методическая база для

построения автоматизированных и вычислительных систем в защищенном

исполнении, пригодных для обработки секретной информации в государственных

учреждениях и коммерческих структурах.

При разработке средств защиты возникает ряд проблем правового

характера:

1. Лицензирование деятельности по разработке программно-аппаратных

средств цифровой подписи. Система лицензирования направлена на создание

условий, при которых право заниматься защитой информации предоставлено

только организациям, имеющим на этот вид деятельности соответствующее

разрешение (лицензию).

2. Сертификация программно-аппаратных средств с функциями защиты.

3. Система сертификации направлена на защиту потребителя от

недобросовестного исполнителя. В настоящее время фактически отсутствуют

организационно-технические и организационно-методические документы по

сертификации средств и комплексов защиты информации, в том числе связанных

с криптографическими методами защиты.

3. Соответствие разрабатываемых средств защиты концептуальным

требованиям к защите, стандартам и другим нормативным документам.

4. Отсутствие нормативно-правового обеспечения для решения спорных

ситуаций с использованием цифровой подписи в арбитражном суде.

Круг нормативных и концептуальных документов в области защиты

информации крайне ограничен, а имеющиеся документы не в полной мере

отвечают современным требованиям. Нормативно-правовые документы, содержащие

термины и определения, концепцию применения и алгоритмы выработки и

проверки цифровой подписи отсутствуют.

Преступление в компьютерной сфере

Развитие вычислительной техники и ее широкое применение

государственными органами и частными учреждениями привели к возникновению и

распространению так называемых компьютерных преступлений. Такое положение

вызывает беспокойство и в тех организациях, где применяется компьютерная

техника, и в органах поддержания правопорядка, и среди широких слоев

населения, пользующихся новыми видами информационного обслуживания.

Термин «компьютерная преступность» впервые был использован еще в

начале 70-х годов. Однако до настоящего времени продолжается дискуссия о

том, какие противозаконные действия подразумеваются под ним. Было

предложено ряд уголовно-правовых определений компьютерной преступности.

Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ,

включающее в себя целую серию незаконных актов, совершаемых либо с помощью

системы электронной обработки данных, либо против нее. Другие под

компьютерной преступностью подразумевают любое деяние, влекущее незаконное

вмешательство в имущественные права, возникающее в связи с использованием

ЭВМ. Третьи вкладывают в это определение все преднамеренные и

противозаконные действия, которые приводят к нанесению ущерба имуществу,

совершение которых стало возможным, прежде всего, благодаря электронной

обработке информации.

Выделяют следующие формы проявления компьютерной преступности:

манипуляции с ЭВМ, хищение машинного времени, экономический шпионаж,

саботаж, компьютерное вымогательство, деятельность «хакеров».

Под компьютерными манипуляциями подразумевается неправомочное

изменение содержимого носителя информации и программ, а также недопустимое

вмешательство в процесс обработки данных. Основные сферы компьютерных

манипуляций таковы: совершение покупок и кредитование (манипуляции с

расчетами и платежами, доставка товаров по ложному адресу); сбыт товара и

счета дебиторов (уничтожение счетов или условий, оговоренных в счетах,

махинации с активами); расчеты заработной платы (изменение отдельных статей

начисления платежей, внесение в платежную ведомость фиктивных лиц). Для

компьютерных манипуляций характерны некоторые особенности, обусловленные

спецификой самого объекта преступных действий. Например, используется

возможность отладки программ, составленных с преступными целями;

многократная реализация однажды найденной возможности для незаконных

действий.

Вследствие простоты передачи программного обеспечения в сетях и

машинах возникает опасность заражения их компьютерным «вирусом», т.е.

опасность появления программ, способных присоединяться к другим программам

машины и нарушать ее работу.

Противозаконные манипуляции с системным программным обеспечением

доступны только узкому кругу специалистов-программистов. Значительно

меньший объем специальных знаний необходим для осуществления манипуляций с

входными и выходными данными. Такие неправомочные действия могут совершать

даже лица, не имеющие непосредственного отношения к информационной технике.

Наряду с непосредственным незаконным использованием информационных

систем к категории преступлений относятся также действия, связанные с

несанкционированным доступом к сети передачи информации и проведение

идентификационных процедур.

Незаконное получение информации может осуществляться и путем

регистрации электромагнитного излучения различных устройств, используемых в

процессе ее обработки.

Распространенным способом совершения компьютерных преступлений

анализируемой категории является незаконный доступ в информационные

системы. Для его осуществления преступник должен располагать следующими

исходными данными: телефонным номером подключения к системе, процедурой

заявки, ключевым словом, номером счета. Номер телефонного подключения к

информационной системе чаще всего имеется в телефонной книге для

внутреннего пользования организации. Данный номер может быть передан

преступнику сотрудниками этой организации или идентифицирован

правонарушителем с помощью программы поиска. Остальная исходная информация

также может быть передана преступнику сотрудниками учреждения, имеющими к

ней доступ.

Компьютерный шпионаж преследует, как правило, экономические цели.

Преступления этой категории чаще всего совершаются для получения следующей

информации: программ обработки данных, результатов научных исследований,

конструкторской документации и калькуляции, сведений о стратегии сбыта

продукции и списков клиентов конкурирующих фирм, административных данных,

сведений о планах и о технологии производства.

Наиболее распространенная в настоящее время форма компьютерных

преступлений - деятельность хакеров, владельцев персональных компьютеров,

незаконно проникающих в информационные сети. Хакеры - это квалифицированные

и изобретательные программисты, занимающиеся разными видами компьютерных

махинаций, начиная с нарушений запретов на доступ к компьютерам в

совокупности с их несанкционированным использованием, вплоть до хищения

секретных сведений.

Компьютерные преступления отличаются от обычных особенными

пространственно-временными характеристиками. Так, подобные деяния

совершаются в течение нескольких секунд, а пространственные ограничения

оказываются полностью устраненными. Лица, совершающие компьютерные

преступления, также имеют свои особенности: они, как правило, молоды, имеют

высшее образование, знакомы с методами раскрытия кодов и внедрения в

компьютерные системы.

Как свидетельствует практика, один из важнейших способов повышения

эффективности борьбы с компьютерной преступностью - создание надлежащей

правовой основы для преследования в уголовном порядке лиц, виновных в

преступлениях такого рода. В настоящее время развитие правовой основы для

борьбы с преступлениями, объектом которых является «интеллектуальный»

элемент ЭВМ, идет в следующих направлениях:

1. Создание уголовно-правовых норм, предусматривающих раздельную

защиту программного обеспечения ЭВМ и баз данных, а также «осязаемых»

элементов электронно-вычислительных систем;

2. Использование существующего законодательства.

Несмотря на то, что существующие уголовные законы достаточно гибки для

квалификации нарушений этого типа, однако социальные и технические

изменения создают все новые и новые проблемы, часть которых оказывается вне

рамок любой из нынешних правовых систем. Потому и «подготовка нормативно-

правовых актов о компьютерной безопасности исключительно сложна, поскольку

связана с технологией, опережающей нормотворческий процесс».

Развитие законодательства не всегда успевает за развитием техники и

преступным использованием ее последних достижений. Так, в существующем

законодательстве отсутствуют правовые нормы относительно преступлений,

Страницы: 1, 2, 3, 4, 5