 | |
МЕНЮ
- Главная
- Астрономия и космонавтика
- Банковское биржевое дело и страхование
- Биология и естествознание
- Бухгалтерский учет и аудит
- Авиация и космонавтика
- Административное право
- Арбитражный процесс
- Архитектура
- Астрология
- Астрономия
- Банковское дело
- Безопасность жизнедеятельности
- Журналистика
- Зоология
- Инвестиции
- История
- Кибернетика
- Коммуникации и связь
- Кулинария
- Культурология
- Логика
- Логистика
- Маркетинг
- Фотография
- Химия
- Хозяйственное право
- Цифровые устройства
- Экологическое право
- Экология
- Экономика
- Карта сайта
Домарев
1. Правовые вопросы защиты массивов информации от искажений и
установления юридической ответственности по обеспечению сохранности
информации. 2. Юридические и технические вопросы зашиты хранящейся
информации от несанкционированного доступа к ней, исключающие возможность
неправомерного использования ее.
3. Установление юридически закрепленных норм и методов защиты
авторских прав и приоритетов разработчиков программного продукта.
4. Разработка мероприятий по приданию юридической силы документам,
выдаваемым машинами, и формирование юридических норм, определяющих лиц,
ответственных за доброкачественность других документов.
5. Правовая защита интересов экспертов, передающих свои знания в фонды
банков данных.
6. Установление правовых норм и юридической ответственности за
использование электронно-вычислительных средств в личных интересах,
противоречащих интересам других личностей и общества и могущих нанести им
вред.
Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и
производственная дисциплина персонала, доступ посторонних лиц к
вычислительным ресурсам создает условия для злоупотреблений и вызывает
трудности их обнаружения.
В каждом вычислительном центре принято устанавливать и строго
соблюдать регламент доступа в различные служебные помещения для разных
категорий сотрудников.
Степень защиты информации от неправомерного доступа и противозаконных
действий зависит от качества разработки организационных мер, направленных
на исключение:
• доступа к аппаратуре обработки информации;
• бесконтрольного выноса персоналом различных носителей информации;
• несанкционированного введения данных в память, изменения или
стирания хранящейся в ней информации;
• незаконного пользования системами обработки информации и полученными
данными;
• доступа в системы обработки информации посредством самодельных
устройств;
• неправомочной передачи данных по каналам связи из информационно-
вычислительного центра;
• бесконтрольный ввод данных в систему;
• обработка данных по заказу без соответствующего требования
заказчика;
• неправомочное считывание, изменение или стирание данных в процессе
их передачи или транспортировки носителей информации.
Целью защиты информации является:
• предотвращение утечки, хищения, утраты, искажения, подделки
информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению,
модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;
• обеспечение правового режима документированной информации как
объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в информационных
системах;
• сохранение государственной тайны, конфиденциальности
документированной информации в соответствии с законодательством;
• гарантия прав субъектов в информационных процессах и при разработке,
производстве и применении информационных систем, технологий и средств их
обеспечения.
Защите подлежит любая документированная информация, неправомерное
обращение с которой может нанести ущерб ее собственнику, владельцу,
пользователю и иному лицу.
Контроль за соблюдением требований к защите информации и эксплуатацией
специальных программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих информацию
с ограниченным доступом в негосударственных структурах, осуществляются
органами государственной власти.
Организации, обрабатывающие информацию с ограниченным доступом,
которая является собственностью государства, создают специальные службы,
обеспечивающие защиту информации.
Собственник информационных ресурсов или уполномоченные им лица имеют
право осуществлять контроль за выполнением требований по защите информации
и запрещать или приостанавливать обработку информации в случае невыполнения
этих требований. Собственник или владелец документированной информации
вправе обращаться в органы государственной власти для оценки правильности
выполнения норм и требований по защите его информации в информационных
системах.
Собственник документа, массива документов, информационных систем или
уполномоченные им лица в соответствии с законом устанавливают порядок
предоставления пользователю информации с указанием места, времени,
ответственных должностных лиц, а также необходимых процедур и обеспечивают
условия доступа пользователей к информации.
Владелец документа, массива документов, информационных систем
обеспечивает уровень защиты информации в соответствии с законодательством.
Риск, связанный с использованием не сертифицированных информационных
систем и средств их обеспечения, лежит на собственнике (владельце) этих
систем и средств. Риск, связанный с использованием информации, полученной
из не сертифицированной системы, лежит на потребителе информации.
Защита прав субъектов в сфере формирования информационных ресурсов,
пользования ими, разработки, производства и применения информационных
систем, технологий и средств их обеспечения осуществляется в целях
предупреждения правонарушений, пресечения неправомерных действий,
восстановления нарушенных прав и возмещения причиненного ущерба.
Ответственность за нарушения международных норм и правил в области
формирования и использования информационных ресурсов, создания и
использования информационных систем, технологий и средств их обеспечения
возлагается на органы государственной власти, организации и на граждан в
соответствии с договорами, заключенными ими с зарубежными фирмами и другими
партнерами с учетом международных договоров.
Отказ в доступе к открытой информации или предоставление пользователям
заведомо недостоверной информации могут быть обжалованы в судебном порядке.
Руководители и другие служащие органов государственной власти,
организаций, виновные в незаконном ограничении доступа к информации и
нарушении режима защиты информации, несут ответственность в соответствии с
уголовным, гражданским законодательством и законодательством об
административных правонарушениях.
Однако ряд нормативных положений по защите информации в
автоматизированных системах, разработанных ранее, не соответствует
современным требованиям и современным информационным технологиям. Работы в
этом направлении заметно отстают от потребностей и носят однобокий характер
(в основном сведены к защите информации от утечки по техническим каналам
перехвата).
Пока еще отсутствует нормативно-правовая и методическая база для
построения автоматизированных и вычислительных систем в защищенном
исполнении, пригодных для обработки секретной информации в государственных
учреждениях и коммерческих структурах.
При разработке средств защиты возникает ряд проблем правового
характера:
1. Лицензирование деятельности по разработке программно-аппаратных
средств цифровой подписи. Система лицензирования направлена на создание
условий, при которых право заниматься защитой информации предоставлено
только организациям, имеющим на этот вид деятельности соответствующее
разрешение (лицензию).
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Система сертификации направлена на защиту потребителя от
недобросовестного исполнителя. В настоящее время фактически отсутствуют
организационно-технические и организационно-методические документы по
сертификации средств и комплексов защиты информации, в том числе связанных
с криптографическими методами защиты.
3. Соответствие разрабатываемых средств защиты концептуальным
требованиям к защите, стандартам и другим нормативным документам.
4. Отсутствие нормативно-правового обеспечения для решения спорных
ситуаций с использованием цифровой подписи в арбитражном суде.
Круг нормативных и концептуальных документов в области защиты
информации крайне ограничен, а имеющиеся документы не в полной мере
отвечают современным требованиям. Нормативно-правовые документы, содержащие
термины и определения, концепцию применения и алгоритмы выработки и
проверки цифровой подписи отсутствуют.
Преступление в компьютерной сфере
Развитие вычислительной техники и ее широкое применение
государственными органами и частными учреждениями привели к возникновению и
распространению так называемых компьютерных преступлений. Такое положение
вызывает беспокойство и в тех организациях, где применяется компьютерная
техника, и в органах поддержания правопорядка, и среди широких слоев
населения, пользующихся новыми видами информационного обслуживания.
Термин «компьютерная преступность» впервые был использован еще в
начале 70-х годов. Однако до настоящего времени продолжается дискуссия о
том, какие противозаконные действия подразумеваются под ним. Было
предложено ряд уголовно-правовых определений компьютерной преступности.
Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ,
включающее в себя целую серию незаконных актов, совершаемых либо с помощью
системы электронной обработки данных, либо против нее. Другие под
компьютерной преступностью подразумевают любое деяние, влекущее незаконное
вмешательство в имущественные права, возникающее в связи с использованием
ЭВМ. Третьи вкладывают в это определение все преднамеренные и
противозаконные действия, которые приводят к нанесению ущерба имуществу,
совершение которых стало возможным, прежде всего, благодаря электронной
обработке информации.
Выделяют следующие формы проявления компьютерной преступности:
манипуляции с ЭВМ, хищение машинного времени, экономический шпионаж,
саботаж, компьютерное вымогательство, деятельность «хакеров».
Под компьютерными манипуляциями подразумевается неправомочное
изменение содержимого носителя информации и программ, а также недопустимое
вмешательство в процесс обработки данных. Основные сферы компьютерных
манипуляций таковы: совершение покупок и кредитование (манипуляции с
расчетами и платежами, доставка товаров по ложному адресу); сбыт товара и
счета дебиторов (уничтожение счетов или условий, оговоренных в счетах,
махинации с активами); расчеты заработной платы (изменение отдельных статей
начисления платежей, внесение в платежную ведомость фиктивных лиц). Для
компьютерных манипуляций характерны некоторые особенности, обусловленные
спецификой самого объекта преступных действий. Например, используется
возможность отладки программ, составленных с преступными целями;
многократная реализация однажды найденной возможности для незаконных
действий.
Вследствие простоты передачи программного обеспечения в сетях и
машинах возникает опасность заражения их компьютерным «вирусом», т.е.
опасность появления программ, способных присоединяться к другим программам
машины и нарушать ее работу.
Противозаконные манипуляции с системным программным обеспечением
доступны только узкому кругу специалистов-программистов. Значительно
меньший объем специальных знаний необходим для осуществления манипуляций с
входными и выходными данными. Такие неправомочные действия могут совершать
даже лица, не имеющие непосредственного отношения к информационной технике.
Наряду с непосредственным незаконным использованием информационных
систем к категории преступлений относятся также действия, связанные с
несанкционированным доступом к сети передачи информации и проведение
идентификационных процедур.
Незаконное получение информации может осуществляться и путем
регистрации электромагнитного излучения различных устройств, используемых в
процессе ее обработки.
Распространенным способом совершения компьютерных преступлений
анализируемой категории является незаконный доступ в информационные
системы. Для его осуществления преступник должен располагать следующими
исходными данными: телефонным номером подключения к системе, процедурой
заявки, ключевым словом, номером счета. Номер телефонного подключения к
информационной системе чаще всего имеется в телефонной книге для
внутреннего пользования организации. Данный номер может быть передан
преступнику сотрудниками этой организации или идентифицирован
правонарушителем с помощью программы поиска. Остальная исходная информация
также может быть передана преступнику сотрудниками учреждения, имеющими к
ней доступ.
Компьютерный шпионаж преследует, как правило, экономические цели.
Преступления этой категории чаще всего совершаются для получения следующей
информации: программ обработки данных, результатов научных исследований,
конструкторской документации и калькуляции, сведений о стратегии сбыта
продукции и списков клиентов конкурирующих фирм, административных данных,
сведений о планах и о технологии производства.
Наиболее распространенная в настоящее время форма компьютерных
преступлений - деятельность хакеров, владельцев персональных компьютеров,
незаконно проникающих в информационные сети. Хакеры - это квалифицированные
и изобретательные программисты, занимающиеся разными видами компьютерных
махинаций, начиная с нарушений запретов на доступ к компьютерам в
совокупности с их несанкционированным использованием, вплоть до хищения
секретных сведений.
Компьютерные преступления отличаются от обычных особенными
пространственно-временными характеристиками. Так, подобные деяния
совершаются в течение нескольких секунд, а пространственные ограничения
оказываются полностью устраненными. Лица, совершающие компьютерные
преступления, также имеют свои особенности: они, как правило, молоды, имеют
высшее образование, знакомы с методами раскрытия кодов и внедрения в
компьютерные системы.
Как свидетельствует практика, один из важнейших способов повышения
эффективности борьбы с компьютерной преступностью - создание надлежащей
правовой основы для преследования в уголовном порядке лиц, виновных в
преступлениях такого рода. В настоящее время развитие правовой основы для
борьбы с преступлениями, объектом которых является «интеллектуальный»
элемент ЭВМ, идет в следующих направлениях:
1. Создание уголовно-правовых норм, предусматривающих раздельную
защиту программного обеспечения ЭВМ и баз данных, а также «осязаемых»
элементов электронно-вычислительных систем;
2. Использование существующего законодательства.
Несмотря на то, что существующие уголовные законы достаточно гибки для
квалификации нарушений этого типа, однако социальные и технические
изменения создают все новые и новые проблемы, часть которых оказывается вне
рамок любой из нынешних правовых систем. Потому и «подготовка нормативно-
правовых актов о компьютерной безопасности исключительно сложна, поскольку
связана с технологией, опережающей нормотворческий процесс».
Развитие законодательства не всегда успевает за развитием техники и
преступным использованием ее последних достижений. Так, в существующем
законодательстве отсутствуют правовые нормы относительно преступлений,
совершаемых с помощью ЭВМ. Это порождает проблему: каким образом обвинять
преступников посредством обычных норм права.
В компьютерных преступлениях ЭВМ может быть как объектом, так и
субъектом преступления. В тех случаях, когда ЭВМ - объект преступления,
т.е. ей наносится материальный ущерб путем физического повреждения, не
возникает проблем с применением существующего законодательства. Но те
случаи, когда ЭВМ используется для совершения актов обмана, укрывательства
или присвоения с целью получения денег, услуг, собственности или деловых
преимуществ, представляют собой новые правовые ситуации.
Существует ряд характерных черт преступлений, связанных с
использованием ЭВМ, которые усложняют расследование и предъявление
обвинения по ним. Помимо юридических трудностей возникают и другие
проблемы, с которыми может столкнуться следствие. Среди них:
• сложность обнаружения преступлений, связанных с использованием ЭВМ;
• большая дальность действия современных средств связи делает
возможным внесение незаконных изменений в программу ЭВМ с помощью
дистанционных терминалов либо закодированных телефонных сигналов
практически из любого района;
• затруднения в понимании порядка работы ЭВМ в технологически сложных
случаях;
• информация преступного характера, заложенная в память ЭВМ и служащая
доказательством для обвинения, может быть ликвидирована почти мгновенно;
• обычные методы финансовой ревизии в случае этих преступлений не
применимы, т.к. для передачи информации используются электронные импульсы,
а не финансовые документы.
В 1988 г. только в Европе было совершено четыре неудачных попытки
нелегального перевода денег с банковских счетов (потери в каждом из этих
случаев могли превысить сумму в 50 млн. дол.). Характерно, что все эти
попытки оказались неудачными только благодаря «чрезмерной жадности»
преступников. В Чикаго, например, 7 преступников решили похитить 70 млн.
дол. и были задержаны в тот момент, когда имели на своем счету более 49
млн. дол.
Кроме того, отмечается, что только 3 из 20 обнаруженных случаев
регистрируются в полицейской статистике, и только 1 из 33
зарегистрированных случаев заканчивается вынесением обвинения. В целом
наказание следует только в одном из 22 тыс. компьютерных преступлений.
Согласно анализу более чем 3 тыс. досье таких преступлений,
накопленных в международном институте SRI interational известным экспертом
в данной области Доном Паркером (организатором international information
integnity institut), компьютеры, данные и программы могут быть: а)объектом
нападения; б)объектом совершения преступления; в) средством подготовки
преступлений; г) средством запугивания или обмана. С учетом темпов
компьютеризации общества, а также масштабов и возможностей компьютерных
злоупотреблений можно полагать, что к 2000 г. практически все преступления
в деловой сфере будут совершаться при помощи компьютеров, а ущерб от
компьютерной преступности будет расти экспоненциально, возможно, при
некоторой стабилизации числа таких преступлений. При этом некоторые
западные аналитики утверждают, что обнаруживается только 1 из 100
компьютерных преступлений.
Средняя стоимость потерь одного компьютерного преступления оценивается
в 450 тыс. дол. и значительно превышает средний ущерб от ограблений банков
и других видов преступлений (по данным ФБР, среди стоимость потерь от
ИНТЕРЕСНОЕ
© 2009 Все права защищены. |