ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Страница 4

Руководители и другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Однако ряд нормативных положений по защите информации в автоматизированных системах, разработанных ранее, не соответствует современным требованиям и современным информационным технологиям. Работы в этом направлении заметно отстают от потребностей и носят однобокий характер (в основном сведены к защите информации от утечки по техническим каналам перехвата).

Пока еще отсутствует нормативно-правовая и методическая база для построения автоматизированных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.

При разработке средств защиты возникает ряд проблем правового характера:

1. Лицензирование деятельности по разработке программно-аппаратных средств цифровой подписи. Система лицензирования направлена на создание условий, при которых право заниматься защитой информации предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

2. Сертификация программно-аппаратных средств с функциями защиты.

3. Система сертификации направлена на защиту потребителя от недобросовестного исполнителя. В настоящее время фактически отсутствуют организационно-технические и организационно-методические документы по сертификации средств и комплексов защиты информации, в том числе связанных с криптографическими методами защиты.

3. Соответствие разрабатываемых средств защиты концептуальным требованиям к защите, стандартам и другим нормативным документам.

4. Отсутствие нормативно-правового обеспечения для решения спорных ситуаций с использованием цифровой подписи в арбитражном суде.

Круг нормативных и концептуальных документов в области защиты информации крайне ограничен, а имеющиеся документы не в полной мере отвечают современным требованиям. Нормативно-правовые документы, содержащие термины и определения, концепцию применения и алгоритмы выработки и проверки цифровой подписи отсутствуют.

Преступление в компьютерной сфере

Развитие вычислительной техники и ее широкое применение государственными органами и частными учреждениями привели к возникновению и распространению так называемых компьютерных преступлений. Такое положение вызывает беспокойство и в тех организациях, где применяется компьютерная техника, и в органах поддержания правопорядка, и среди широких слоев населения, пользующихся новыми видами информационного обслуживания.

Термин «компьютерная преступность» впервые был использован еще в начале 70-х годов. Однако до настоящего времени продолжается дискуссия о том, какие противозаконные действия подразумеваются под ним. Было предложено ряд уголовно-правовых определений компьютерной преступности. Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ, включающее в себя целую серию незаконных актов, совершаемых либо с помощью системы электронной обработки данных, либо против нее. Другие под компьютерной преступностью подразумевают любое деяние, влекущее незаконное вмешательство в имущественные права, возникающее в связи с использованием ЭВМ. Третьи вкладывают в это определение все преднамеренные и противозаконные действия, которые приводят к нанесению ущерба имуществу, совершение которых стало возможным, прежде всего, благодаря электронной обработке информации.

Выделяют следующие формы проявления компьютерной преступности: манипуляции с ЭВМ, хищение машинного времени, экономический шпионаж, саботаж, компьютерное вымогательство, деятельность «хакеров».

Под компьютерными манипуляциями подразумевается неправомочное изменение содержимого носителя информации и программ, а также недопустимое вмешательство в процесс обработки данных. Основные сферы компьютерных манипуляций таковы: совершение покупок и кредитование (манипуляции с расчетами и платежами, доставка товаров по ложному адресу); сбыт товара и счета дебиторов (уничтожение счетов или условий, оговоренных в счетах, махинации с активами); расчеты заработной платы (изменение отдельных статей начисления платежей, внесение в платежную ведомость фиктивных лиц). Для компьютерных манипуляций характерны некоторые особенности, обусловленные спецификой самого объекта преступных действий. Например, используется возможность отладки программ, составленных с преступными целями; многократная реализация однажды найденной возможности для незаконных действий.

Вследствие простоты передачи программного обеспечения в сетях и машинах возникает опасность заражения их компьютерным «вирусом», т.е. опасность появления программ, способных присоединяться к другим программам машины и нарушать ее работу.

Противозаконные манипуляции с системным программным обеспечением доступны только узкому кругу специалистов-программистов. Значительно меньший объем специальных знаний необходим для осуществления манипуляций с входными и выходными данными. Такие неправомочные действия могут совершать даже лица, не имеющие непосредственного отношения к информационной технике.

Наряду с непосредственным незаконным использованием информационных систем к категории преступлений относятся также действия, связанные с несанкционированным доступом к сети передачи информации и проведение идентификационных процедур.

Незаконное получение информации может осуществляться и путем регистрации электромагнитного излучения различных устройств, используемых в процессе ее обработки.

Распространенным способом совершения компьютерных преступлений анализируемой категории является незаконный доступ в информационные системы. Для его осуществления преступник должен располагать следующими исходными данными: телефонным номером подключения к системе, процедурой заявки, ключевым словом, номером счета. Номер телефонного подключения к информационной системе чаще всего имеется в телефонной книге для внутреннего пользования организации. Данный номер может быть передан преступнику сотрудниками этой организации или идентифицирован правонарушителем с помощью программы поиска. Остальная исходная информация также может быть передана преступнику сотрудниками учреждения, имеющими к ней доступ.

Компьютерный шпионаж преследует, как правило, экономические цели. Преступления этой категории чаще всего совершаются для получения следующей информации: программ обработки данных, результатов научных исследований, конструкторской документации и калькуляции, сведений о стратегии сбыта продукции и списков клиентов конкурирующих фирм, административных данных, сведений о планах и о технологии производства.

Наиболее распространенная в настоящее время форма компьютерных преступлений - деятельность хакеров, владельцев персональных компьютеров, незаконно проникающих в информационные сети. Хакеры - это квалифицированные и изобретательные программисты, занимающиеся разными видами компьютерных махинаций, начиная с нарушений запретов на доступ к компьютерам в совокупности с их несанкционированным использованием, вплоть до хищения секретных сведений.

Компьютерные преступления отличаются от обычных особенными пространственно-временными характеристиками. Так, подобные деяния совершаются в течение нескольких секунд, а пространственные ограничения оказываются полностью устраненными. Лица, совершающие компьютерные преступления, также имеют свои особенности: они, как правило, молоды, имеют высшее образование, знакомы с методами раскрытия кодов и внедрения в компьютерные системы.

Как свидетельствует практика, один из важнейших способов повышения эффективности борьбы с компьютерной преступностью - создание надлежащей правовой основы для преследования в уголовном порядке лиц, виновных в преступлениях такого рода. В настоящее время развитие правовой основы для борьбы с преступлениями, объектом которых является «интеллектуальный» элемент ЭВМ, идет в следующих направлениях: