Домарев
пользователей, создает определенный риск в плане безопасности, поскольку не
все клиенты будут выполнять требования по ее обеспечению.
Порядок хранения носителей информации должен быть четко определен в
соответствующем правовом акте и предусматривать полную сохранность
носителей информации, удобство отыскания необходимых носителей контроль за
работой с информацией, ответственность за несанкционированный доступ к
носителям информации с целью снятия с них копий, изменения или разрушения и
т.д.
Можно скрыто получить доступ к информационным архивам, которые
концентрируются в одно месте в больших объемах. Кроме того, появилась
возможность дистанционного получения информации через терминалы,
расположенные в удалении от мест хранения данных. Поэтому для защиты
информации требуются принципиально новые методы и средства, разработанные с
учетом ценности информации, условий работы, технических и программных
возможностей ЭВМ и других средств сбора, передачи и обработки данных.
Особые мероприятия защиты необходимы, когда ресурсы ЭВМ используются
несколькими абонентами через терминалы в многопрограммном режиме и в режиме
разделения времени.
В этой главе возникает ряд правовых проблем, связанных с массивами
информации, сконцентрированных в банках данных, и знаний, представляющих
собой общественную и национальную ценность, а их содержание - национальный
секрет. Использование такой информации не по назначению наносит
значительный ущерб как обществу в целом, так и отдельной личности.
Уместно обратить внимание на правовые аспекты защиты информации,
которые могут возникнуть при недостаточно продуманном или злонамеренном
использовании электронно-вычислительной техники. К ним относятся:
1. Правовые вопросы защиты массивов информации от искажений и
установления юридической ответственности по обеспечению сохранности
информации. 2. Юридические и технические вопросы зашиты хранящейся
информации от несанкционированного доступа к ней, исключающие возможность
неправомерного использования ее.
3. Установление юридически закрепленных норм и методов защиты
авторских прав и приоритетов разработчиков программного продукта.
4. Разработка мероприятий по приданию юридической силы документам,
выдаваемым машинами, и формирование юридических норм, определяющих лиц,
ответственных за доброкачественность других документов.
5. Правовая защита интересов экспертов, передающих свои знания в фонды
банков данных.
6. Установление правовых норм и юридической ответственности за
использование электронно-вычислительных средств в личных интересах,
противоречащих интересам других личностей и общества и могущих нанести им
вред.
Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и
производственная дисциплина персонала, доступ посторонних лиц к
вычислительным ресурсам создает условия для злоупотреблений и вызывает
трудности их обнаружения.
В каждом вычислительном центре принято устанавливать и строго
соблюдать регламент доступа в различные служебные помещения для разных
категорий сотрудников.
Степень защиты информации от неправомерного доступа и противозаконных
действий зависит от качества разработки организационных мер, направленных
на исключение:
• доступа к аппаратуре обработки информации;
• бесконтрольного выноса персоналом различных носителей информации;
• несанкционированного введения данных в память, изменения или
стирания хранящейся в ней информации;
• незаконного пользования системами обработки информации и полученными
данными;
• доступа в системы обработки информации посредством самодельных
устройств;
• неправомочной передачи данных по каналам связи из информационно-
вычислительного центра;
• бесконтрольный ввод данных в систему;
• обработка данных по заказу без соответствующего требования
заказчика;
• неправомочное считывание, изменение или стирание данных в процессе
их передачи или транспортировки носителей информации.
Целью защиты информации является:
• предотвращение утечки, хищения, утраты, искажения, подделки
информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению,
модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;
• обеспечение правового режима документированной информации как
объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в информационных
системах;
• сохранение государственной тайны, конфиденциальности
документированной информации в соответствии с законодательством;
• гарантия прав субъектов в информационных процессах и при разработке,
производстве и применении информационных систем, технологий и средств их
обеспечения.
Защите подлежит любая документированная информация, неправомерное
обращение с которой может нанести ущерб ее собственнику, владельцу,
пользователю и иному лицу.
Контроль за соблюдением требований к защите информации и эксплуатацией
специальных программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих информацию
с ограниченным доступом в негосударственных структурах, осуществляются
органами государственной власти.
Организации, обрабатывающие информацию с ограниченным доступом,
которая является собственностью государства, создают специальные службы,
обеспечивающие защиту информации.
Собственник информационных ресурсов или уполномоченные им лица имеют
право осуществлять контроль за выполнением требований по защите информации
и запрещать или приостанавливать обработку информации в случае невыполнения
этих требований. Собственник или владелец документированной информации
вправе обращаться в органы государственной власти для оценки правильности
выполнения норм и требований по защите его информации в информационных
системах.
Собственник документа, массива документов, информационных систем или
уполномоченные им лица в соответствии с законом устанавливают порядок
предоставления пользователю информации с указанием места, времени,
ответственных должностных лиц, а также необходимых процедур и обеспечивают
условия доступа пользователей к информации.
Владелец документа, массива документов, информационных систем
обеспечивает уровень защиты информации в соответствии с законодательством.
Риск, связанный с использованием не сертифицированных информационных
систем и средств их обеспечения, лежит на собственнике (владельце) этих
систем и средств. Риск, связанный с использованием информации, полученной
из не сертифицированной системы, лежит на потребителе информации.
Защита прав субъектов в сфере формирования информационных ресурсов,
пользования ими, разработки, производства и применения информационных
систем, технологий и средств их обеспечения осуществляется в целях
предупреждения правонарушений, пресечения неправомерных действий,
восстановления нарушенных прав и возмещения причиненного ущерба.
Ответственность за нарушения международных норм и правил в области
формирования и использования информационных ресурсов, создания и
использования информационных систем, технологий и средств их обеспечения
возлагается на органы государственной власти, организации и на граждан в
соответствии с договорами, заключенными ими с зарубежными фирмами и другими
партнерами с учетом международных договоров.
Отказ в доступе к открытой информации или предоставление пользователям
заведомо недостоверной информации могут быть обжалованы в судебном порядке.
Руководители и другие служащие органов государственной власти,
организаций, виновные в незаконном ограничении доступа к информации и
нарушении режима защиты информации, несут ответственность в соответствии с
уголовным, гражданским законодательством и законодательством об
административных правонарушениях.
Однако ряд нормативных положений по защите информации в
автоматизированных системах, разработанных ранее, не соответствует
современным требованиям и современным информационным технологиям. Работы в
этом направлении заметно отстают от потребностей и носят однобокий характер
(в основном сведены к защите информации от утечки по техническим каналам
перехвата).
Пока еще отсутствует нормативно-правовая и методическая база для
построения автоматизированных и вычислительных систем в защищенном
исполнении, пригодных для обработки секретной информации в государственных
учреждениях и коммерческих структурах.
При разработке средств защиты возникает ряд проблем правового
характера:
1. Лицензирование деятельности по разработке программно-аппаратных
средств цифровой подписи. Система лицензирования направлена на создание
условий, при которых право заниматься защитой информации предоставлено
только организациям, имеющим на этот вид деятельности соответствующее
разрешение (лицензию).
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Система сертификации направлена на защиту потребителя от
недобросовестного исполнителя. В настоящее время фактически отсутствуют
организационно-технические и организационно-методические документы по
сертификации средств и комплексов защиты информации, в том числе связанных
с криптографическими методами защиты.
3. Соответствие разрабатываемых средств защиты концептуальным
требованиям к защите, стандартам и другим нормативным документам.
4. Отсутствие нормативно-правового обеспечения для решения спорных
ситуаций с использованием цифровой подписи в арбитражном суде.
Круг нормативных и концептуальных документов в области защиты
информации крайне ограничен, а имеющиеся документы не в полной мере
отвечают современным требованиям. Нормативно-правовые документы, содержащие
термины и определения, концепцию применения и алгоритмы выработки и
проверки цифровой подписи отсутствуют.
Преступление в компьютерной сфере
Развитие вычислительной техники и ее широкое применение
государственными органами и частными учреждениями привели к возникновению и
распространению так называемых компьютерных преступлений. Такое положение
вызывает беспокойство и в тех организациях, где применяется компьютерная
техника, и в органах поддержания правопорядка, и среди широких слоев
населения, пользующихся новыми видами информационного обслуживания.
Термин «компьютерная преступность» впервые был использован еще в
начале 70-х годов. Однако до настоящего времени продолжается дискуссия о
том, какие противозаконные действия подразумеваются под ним. Было
предложено ряд уголовно-правовых определений компьютерной преступности.
Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ,
включающее в себя целую серию незаконных актов, совершаемых либо с помощью
системы электронной обработки данных, либо против нее. Другие под
компьютерной преступностью подразумевают любое деяние, влекущее незаконное
вмешательство в имущественные права, возникающее в связи с использованием
ЭВМ. Третьи вкладывают в это определение все преднамеренные и
противозаконные действия, которые приводят к нанесению ущерба имуществу,
совершение которых стало возможным, прежде всего, благодаря электронной
обработке информации.
Выделяют следующие формы проявления компьютерной преступности:
манипуляции с ЭВМ, хищение машинного времени, экономический шпионаж,
саботаж, компьютерное вымогательство, деятельность «хакеров».
Под компьютерными манипуляциями подразумевается неправомочное
изменение содержимого носителя информации и программ, а также недопустимое
вмешательство в процесс обработки данных. Основные сферы компьютерных
манипуляций таковы: совершение покупок и кредитование (манипуляции с
расчетами и платежами, доставка товаров по ложному адресу); сбыт товара и
счета дебиторов (уничтожение счетов или условий, оговоренных в счетах,
махинации с активами); расчеты заработной платы (изменение отдельных статей
начисления платежей, внесение в платежную ведомость фиктивных лиц). Для
компьютерных манипуляций характерны некоторые особенности, обусловленные
спецификой самого объекта преступных действий. Например, используется
возможность отладки программ, составленных с преступными целями;
многократная реализация однажды найденной возможности для незаконных
действий.
Вследствие простоты передачи программного обеспечения в сетях и
машинах возникает опасность заражения их компьютерным «вирусом», т.е.
опасность появления программ, способных присоединяться к другим программам
машины и нарушать ее работу.
Противозаконные манипуляции с системным программным обеспечением
доступны только узкому кругу специалистов-программистов. Значительно
меньший объем специальных знаний необходим для осуществления манипуляций с
входными и выходными данными. Такие неправомочные действия могут совершать
даже лица, не имеющие непосредственного отношения к информационной технике.
Наряду с непосредственным незаконным использованием информационных
систем к категории преступлений относятся также действия, связанные с
несанкционированным доступом к сети передачи информации и проведение
идентификационных процедур.
Незаконное получение информации может осуществляться и путем
регистрации электромагнитного излучения различных устройств, используемых в
процессе ее обработки.
Распространенным способом совершения компьютерных преступлений
анализируемой категории является незаконный доступ в информационные
системы. Для его осуществления преступник должен располагать следующими
исходными данными: телефонным номером подключения к системе, процедурой
заявки, ключевым словом, номером счета. Номер телефонного подключения к
информационной системе чаще всего имеется в телефонной книге для
внутреннего пользования организации. Данный номер может быть передан
преступнику сотрудниками этой организации или идентифицирован
правонарушителем с помощью программы поиска. Остальная исходная информация
также может быть передана преступнику сотрудниками учреждения, имеющими к
ней доступ.
Компьютерный шпионаж преследует, как правило, экономические цели.
Преступления этой категории чаще всего совершаются для получения следующей
информации: программ обработки данных, результатов научных исследований,
конструкторской документации и калькуляции, сведений о стратегии сбыта
продукции и списков клиентов конкурирующих фирм, административных данных,
сведений о планах и о технологии производства.
Наиболее распространенная в настоящее время форма компьютерных
преступлений - деятельность хакеров, владельцев персональных компьютеров,
незаконно проникающих в информационные сети. Хакеры - это квалифицированные
и изобретательные программисты, занимающиеся разными видами компьютерных
махинаций, начиная с нарушений запретов на доступ к компьютерам в
совокупности с их несанкционированным использованием, вплоть до хищения
секретных сведений.
Компьютерные преступления отличаются от обычных особенными
пространственно-временными характеристиками. Так, подобные деяния
совершаются в течение нескольких секунд, а пространственные ограничения
оказываются полностью устраненными. Лица, совершающие компьютерные
преступления, также имеют свои особенности: они, как правило, молоды, имеют
высшее образование, знакомы с методами раскрытия кодов и внедрения в
компьютерные системы.
Как свидетельствует практика, один из важнейших способов повышения
эффективности борьбы с компьютерной преступностью - создание надлежащей
правовой основы для преследования в уголовном порядке лиц, виновных в
преступлениях такого рода. В настоящее время развитие правовой основы для
борьбы с преступлениями, объектом которых является «интеллектуальный»
элемент ЭВМ, идет в следующих направлениях:
1. Создание уголовно-правовых норм, предусматривающих раздельную
защиту программного обеспечения ЭВМ и баз данных, а также «осязаемых»
элементов электронно-вычислительных систем;
2. Использование существующего законодательства.
Несмотря на то, что существующие уголовные законы достаточно гибки для
квалификации нарушений этого типа, однако социальные и технические
изменения создают все новые и новые проблемы, часть которых оказывается вне
рамок любой из нынешних правовых систем. Потому и «подготовка нормативно-
правовых актов о компьютерной безопасности исключительно сложна, поскольку
связана с технологией, опережающей нормотворческий процесс».
Развитие законодательства не всегда успевает за развитием техники и
преступным использованием ее последних достижений. Так, в существующем
законодательстве отсутствуют правовые нормы относительно преступлений,
Страницы: 1, 2, 3, 4, 5
|