 | |
МЕНЮ
- Главная
- Астрономия и космонавтика
- Банковское биржевое дело и страхование
- Биология и естествознание
- Бухгалтерский учет и аудит
- Авиация и космонавтика
- Административное право
- Арбитражный процесс
- Архитектура
- Астрология
- Астрономия
- Банковское дело
- Безопасность жизнедеятельности
- Журналистика
- Зоология
- Инвестиции
- История
- Кибернетика
- Коммуникации и связь
- Кулинария
- Культурология
- Логика
- Логистика
- Маркетинг
- Фотография
- Химия
- Хозяйственное право
- Цифровые устройства
- Экологическое право
- Экология
- Экономика
- Карта сайта
Лекция: Домарев
В каждом вычислительном центре принято устанавливать и строго соблюдать
регламент доступа в различные служебные помещения для разных категорий
сотрудников.
Степень защиты информации от неправомерного доступа и противозаконных
действий зависит от качества разработки организационных мер, направленных на
исключение:
• доступа к аппаратуре обработки информации;
• бесконтрольного выноса персоналом различных носителей информации;
• несанкционированного введения данных в память, изменения или стирания
хранящейся в ней информации;
• незаконного пользования системами обработки информации и полученными данными;
• доступа в системы обработки информации посредством самодельных устройств;
• неправомочной передачи данных по каналам связи из
информационно-вычислительного центра;
• бесконтрольный ввод данных в систему;
• обработка данных по заказу без соответствующего требования заказчика;
• неправомочное считывание, изменение или стирание данных в процессе их
передачи или транспортировки носителей информации.
Целью защиты информации является:
• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации,
искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные
ресурсы и информационные системы;
• обеспечение правового режима документированной информации как объекта
собственности;
• защита конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной
информации в соответствии с законодательством;
• гарантия прав субъектов в информационных процессах и при разработке,
производстве и применении информационных систем, технологий и средств их
обеспечения.
Защите подлежит любая документированная информация, неправомерное обращение с
которой может нанести ущерб ее собственнику, владельцу, пользователю и иному
лицу.
Контроль за соблюдением требований к защите информации и эксплуатацией
специальных программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих информацию с
ограниченным доступом в негосударственных структурах, осуществляются органами
государственной власти.
Организации, обрабатывающие информацию с ограниченным доступом, которая
является собственностью государства, создают специальные службы,
обеспечивающие защиту информации.
Собственник информационных ресурсов или уполномоченные им лица имеют право
осуществлять контроль за выполнением требований по защите информации и
запрещать или приостанавливать обработку информации в случае невыполнения этих
требований. Собственник или владелец документированной информации вправе
обращаться в органы государственной власти для оценки правильности выполнения
норм и требований по защите его информации в информационных системах.
Собственник документа, массива документов, информационных систем или
уполномоченные им лица в соответствии с законом устанавливают порядок
предоставления пользователю информации с указанием места, времени,
ответственных должностных лиц, а также необходимых процедур и обеспечивают
условия доступа пользователей к информации.
Владелец документа, массива документов, информационных систем обеспечивает
уровень защиты информации в соответствии с законодательством.
Риск, связанный с использованием не сертифицированных информационных систем и
средств их обеспечения, лежит на собственнике (владельце) этих систем и
средств. Риск, связанный с использованием информации, полученной из не
сертифицированной системы, лежит на потребителе информации.
Защита прав субъектов в сфере формирования информационных ресурсов,
пользования ими, разработки, производства и применения информационных систем,
технологий и средств их обеспечения осуществляется в целях предупреждения
правонарушений, пресечения неправомерных действий, восстановления нарушенных
прав и возмещения причиненного ущерба.
Ответственность за нарушения международных норм и правил в области
формирования и использования информационных ресурсов, создания и
использования информационных систем, технологий и средств их обеспечения
возлагается на органы государственной власти, организации и на граждан в
соответствии с договорами, заключенными ими с зарубежными фирмами и другими
партнерами с учетом международных договоров.
Отказ в доступе к открытой информации или предоставление пользователям
заведомо недостоверной информации могут быть обжалованы в судебном порядке.
Руководители и другие служащие органов государственной власти, организаций,
виновные в незаконном ограничении доступа к информации и нарушении режима
защиты информации, несут ответственность в соответствии с уголовным,
гражданским законодательством и законодательством об административных
правонарушениях.
Однако ряд нормативных положений по защите информации в автоматизированных
системах, разработанных ранее, не соответствует современным требованиям и
современным информационным технологиям. Работы в этом направлении заметно
отстают от потребностей и носят однобокий характер (в основном сведены к
защите информации от утечки по техническим каналам перехвата).
Пока еще отсутствует нормативно-правовая и методическая база для построения
автоматизированных и вычислительных систем в защищенном исполнении, пригодных
для обработки секретной информации в государственных учреждениях и
коммерческих структурах.
При разработке средств защиты возникает ряд проблем правового характера:
1. Лицензирование деятельности по разработке программно-аппаратных средств
цифровой подписи. Система лицензирования направлена на создание условий, при
которых право заниматься защитой информации предоставлено только организациям,
имеющим на этот вид деятельности соответствующее разрешение (лицензию).
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Система сертификации направлена на защиту потребителя от недобросовестного
исполнителя. В настоящее время фактически отсутствуют
организационно-технические и организационно-методические документы по
сертификации средств и комплексов защиты информации, в том числе связанных с
криптографическими методами защиты.
3. Соответствие разрабатываемых средств защиты концептуальным требованиям к
защите, стандартам и другим нормативным документам.
4. Отсутствие нормативно-правового обеспечения для решения спорных ситуаций с
использованием цифровой подписи в арбитражном суде.
Круг нормативных и концептуальных документов в области защиты информации
крайне ограничен, а имеющиеся документы не в полной мере отвечают современным
требованиям. Нормативно-правовые документы, содержащие термины и определения,
концепцию применения и алгоритмы выработки и проверки цифровой подписи
отсутствуют.
Преступление в компьютерной сфере
Развитие вычислительной техники и ее широкое применение государственными
органами и частными учреждениями привели к возникновению и распространению
так называемых компьютерных преступлений. Такое положение вызывает
беспокойство и в тех организациях, где применяется компьютерная техника, и в
органах поддержания правопорядка, и среди широких слоев населения,
пользующихся новыми видами информационного обслуживания.
Термин «компьютерная преступность» впервые был использован еще в
начале 70-х годов. Однако до настоящего времени продолжается дискуссия о том,
какие противозаконные действия подразумеваются под ним. Было предложено ряд
уголовно-правовых определений компьютерной преступности. Часто оно трактуется
как преступление, прямо или косвенно связанное с ЭВМ, включающее в себя целую
серию незаконных актов, совершаемых либо с помощью системы электронной
обработки данных, либо против нее. Другие под компьютерной преступностью
подразумевают любое деяние, влекущее незаконное вмешательство в имущественные
права, возникающее в связи с использованием ЭВМ. Третьи вкладывают в это
определение все преднамеренные и противозаконные действия, которые приводят к
нанесению ущерба имуществу, совершение которых стало возможным, прежде всего,
благодаря электронной обработке информации.
Выделяют следующие формы проявления компьютерной преступности: манипуляции с
ЭВМ, хищение машинного времени, экономический шпионаж, саботаж, компьютерное
вымогательство, деятельность «хакеров».
Под компьютерными манипуляциями подразумевается неправомочное изменение
содержимого носителя информации и программ, а также недопустимое вмешательство
в процесс обработки данных. Основные сферы компьютерных манипуляций таковы:
совершение покупок и кредитование (манипуляции с расчетами и платежами,
доставка товаров по ложному адресу); сбыт товара и счета дебиторов (уничтожение
счетов или условий, оговоренных в счетах, махинации с активами); расчеты
заработной платы (изменение отдельных статей начисления платежей, внесение в
платежную ведомость фиктивных лиц). Для компьютерных манипуляций характерны
некоторые особенности, обусловленные спецификой самого объекта преступных
действий. Например, используется возможность отладки программ, составленных с
преступными целями; многократная реализация однажды найденной возможности для
незаконных действий.
Вследствие простоты передачи программного обеспечения в сетях и машинах
возникает опасность заражения их компьютерным «вирусом», т.е. опасность
появления программ, способных присоединяться к другим программам машины и
нарушать ее работу.
Противозаконные манипуляции с системным программным обеспечением доступны
только узкому кругу специалистов-программистов. Значительно меньший объем
специальных знаний необходим для осуществления манипуляций с входными и
выходными данными. Такие неправомочные действия могут совершать даже лица, не
имеющие непосредственного отношения к информационной технике.
Наряду с непосредственным незаконным использованием информационных систем к
категории преступлений относятся также действия, связанные с
несанкционированным доступом к сети передачи информации и проведение
идентификационных процедур.
Незаконное получение информации может осуществляться и путем регистрации
электромагнитного излучения различных устройств, используемых в процессе ее
обработки.
Распространенным способом совершения компьютерных преступлений анализируемой
категории является незаконный доступ в информационные системы. Для его
осуществления преступник должен располагать следующими исходными данными:
телефонным номером подключения к системе, процедурой заявки, ключевым словом,
номером счета. Номер телефонного подключения к информационной системе чаще
всего имеется в телефонной книге для внутреннего пользования организации.
Данный номер может быть передан преступнику сотрудниками этой организации или
идентифицирован правонарушителем с помощью программы поиска. Остальная исходная
информация также может быть передана преступнику сотрудниками учреждения,
имеющими к ней доступ.
Компьютерный шпионаж преследует, как правило, экономические цели.
Преступления этой категории чаще всего совершаются для получения следующей
информации: программ обработки данных, результатов научных исследований,
конструкторской документации и калькуляции, сведений о стратегии сбыта
продукции и списков клиентов конкурирующих фирм, административных данных,
сведений о планах и о технологии производства.
Наиболее распространенная в настоящее время форма компьютерных преступлений -
деятельность хакеров, владельцев персональных компьютеров, незаконно
проникающих в информационные сети. Хакеры - это квалифицированные и
изобретательные программисты, занимающиеся разными видами компьютерных
махинаций, начиная с нарушений запретов на доступ к компьютерам в совокупности
с их несанкционированным использованием, вплоть до хищения секретных сведений.
Компьютерные преступления отличаются от обычных особенными пространственно-
временными характеристиками. Так, подобные деяния совершаются в течение
нескольких секунд, а пространственные ограничения оказываются полностью
устраненными. Лица, совершающие компьютерные преступления, также имеют свои
особенности: они, как правило, молоды, имеют высшее образование, знакомы с
методами раскрытия кодов и внедрения в компьютерные системы.
Как свидетельствует практика, один из важнейших способов повышения
эффективности борьбы с компьютерной преступностью - создание надлежащей
правовой основы для преследования в уголовном порядке лиц, виновных в
преступлениях такого рода. В настоящее время развитие правовой основы для
борьбы с преступлениями, объектом которых является «интеллектуальный» элемент
ЭВМ, идет в следующих направлениях:
1. Создание уголовно-правовых норм, предусматривающих раздельную защиту
программного обеспечения ЭВМ и баз данных, а также «осязаемых» элементов
электронно-вычислительных систем;
2. Использование существующего законодательства.
Несмотря на то, что существующие уголовные законы достаточно гибки для
квалификации нарушений этого типа, однако социальные и технические изменения
создают все новые и новые проблемы, часть которых оказывается вне рамок любой
из нынешних правовых систем. Потому и «подготовка нормативно-правовых актов о
компьютерной безопасности исключительно сложна, поскольку связана с
технологией, опережающей нормотворческий процесс».
Развитие законодательства не всегда успевает за развитием техники и
преступным использованием ее последних достижений. Так, в существующем
законодательстве отсутствуют правовые нормы относительно преступлений,
совершаемых с помощью ЭВМ. Это порождает проблему: каким образом обвинять
преступников посредством обычных норм права.
В компьютерных преступлениях ЭВМ может быть как объектом, так и субъектом
преступления. В тех случаях, когда ЭВМ - объект преступления, т.е. ей
наносится материальный ущерб путем физического повреждения, не возникает
проблем с применением существующего законодательства. Но те случаи, когда ЭВМ
используется для совершения актов обмана, укрывательства или присвоения с
целью получения денег, услуг, собственности или деловых преимуществ,
представляют собой новые правовые ситуации.
Существует ряд характерных черт преступлений, связанных с использованием ЭВМ,
которые усложняют расследование и предъявление обвинения по ним. Помимо
юридических трудностей возникают и другие проблемы, с которыми может
столкнуться следствие. Среди них:
• сложность обнаружения преступлений, связанных с использованием ЭВМ;
• большая дальность действия современных средств связи делает возможным
внесение незаконных изменений в программу ЭВМ с помощью дистанционных
терминалов либо закодированных телефонных сигналов практически из любого
района;
• затруднения в понимании порядка работы ЭВМ в технологически сложных случаях;
• информация преступного характера, заложенная в память ЭВМ и служащая
доказательством для обвинения, может быть ликвидирована почти мгновенно;
• обычные методы финансовой ревизии в случае этих преступлений не применимы,
т.к. для передачи информации используются электронные импульсы, а не
финансовые документы.
В 1988 г. только в Европе было совершено четыре неудачных попытки
нелегального перевода денег с банковских счетов (потери в каждом из этих
случаев могли превысить сумму в 50 млн. дол.). Характерно, что все эти
попытки оказались неудачными только благодаря «чрезмерной жадности»
преступников. В Чикаго, например, 7 преступников решили похитить 70 млн. дол.
и были задержаны в тот момент, когда имели на своем счету более 49 млн. дол.
Кроме того, отмечается, что только 3 из 20 обнаруженных случаев
регистрируются в полицейской статистике, и только 1 из 33 зарегистрированных
случаев заканчивается вынесением обвинения. В целом наказание следует только
в одном из 22 тыс. компьютерных преступлений.
Согласно анализу более чем 3 тыс. досье таких преступлений, накопленных в
международном институте SRI interational известным экспертом в данной области
Доном Паркером (организатором international information integnity institut),
компьютеры, данные и программы могут быть: а)объектом нападения; б)объектом
совершения преступления; в) средством подготовки преступлений; г) средством
запугивания или обмана. С учетом темпов компьютеризации общества, а также
масштабов и возможностей компьютерных злоупотреблений можно полагать, что к
2000 г. практически все преступления в деловой сфере будут совершаться при
помощи компьютеров, а ущерб от компьютерной преступности будет расти
экспоненциально, возможно, при некоторой стабилизации числа таких преступлений.
При этом некоторые западные аналитики утверждают, что обнаруживается только
1 из 100 компьютерных преступлений.
Средняя стоимость потерь одного компьютерного преступления оценивается в 450
тыс. дол. и значительно превышает средний ущерб от ограблений банков и
других видов преступлений (по данным ФБР, среди стоимость потерь от ограбления
банков в США составляет 3,2 тыс. дол. и от мошенничества - 23 тыс. дол Темпы
роста потерь от компьютерных злоупотреблений существенно зависят от видов
преступлений и мо1 достигать 430 тыс. дол. в год (как это наблюдалось в США в
1982 г., когда объем потерь от злоупотреблений) банковскими кредитными
карточками в течение 12 месяцев увеличился с 5,5 до 29 млн. дол.).
Большинство пострадавших обращаются в правоохранительные органы, если их
потери превышают 15-150 тыс. да и при этом только в 60-65 случаях обвиняемые
подпадают под действие существующего в США законодательства
Основным действующим лицом при совершении компьютерных преступлений в сфере
бизнеса становятся высокообразованные «белые воротнички» из числа сотрудников
пострадавших организаций. По данным MIS Traiding institut (США), на их долю
приходится 63% всех случаев рассматриваемых преступлений и злоупотреблений.
Более чем 36% нарушивших закон сотрудников относится к категории не
руководящего персонала, не связанного непосредственно с обслуживанием и
эксплуатацией компьютеров, 29%-профессиональные программисты, 25% - прочие
сотрудники вычислительных центров обслуживающий персонал, операторы ЭВМ и пр.,
7% - руководители соответствующих компьютерных центров.
Существенно меняются и мотивы преступлений. На первый план выдвигаются
проблемы личного план (работа, борьба за сохранение положения и выживание
фирмы, месть, стремление к превосходству, ревность здоровье, физическая или
нравственная зависимость, увлечения, финансовый или семейный кризис,
стремление к самоутверждению и т.д.). Эту тенденцию отражает и официальная
статистика, согласно которой около 40% компьютерных преступлений совершается
для решения финансовых проблем, 20% мотивируется «интеллектуальным вызовом»
обществу, 17% - стремлением решить личные проблемы производственного
характера, 8% - проблемы корпорации или организации, 4% - стремлением к
общественному признанию, 3% -ущемлением прав и т.д.
Возникновение компьютерной преступности и масштабы ущерба вызвали
необходимость разработки законодательных норм, устанавливающих
ответственность за подобные действия. Все изложенное в полной мер относится и
к Российской Федерации, где взрыв компьютерной преступности сдерживается
только слабым развитием информатизации. Однако там, где вычислительная
техника используется широко, информационные преступления уже наблюдаются. В
качестве примера можно привести случай во Внешэкономбанке РФ где из-под учета
ЭВМ было выведено около 1 млн. дол., а 125 тыс. дол. - похищено.
Вместе с тем, отсутствие надежных защищенных автоматизированных систем
межбанковских расчете позволяет совершать массовые хищения денежных средств
ИНТЕРЕСНОЕ
© 2009 Все права защищены. |