книги / Теория и практика борьбы с компьютерной преступностью
..pdfПринцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является след ствием принципа неопределенности.
Принцип персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организа ции за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.
Принцип ограничения полномочий. Предполагает ограничение полномо чий субъекта на ознакомление с информацией, к которой не требуется дос тупа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в кото рых не требуется по роду деятельности.
Принцип взаимодействия и сотрудничества. Во внутреннем проявле нии предполагает культивирование доверительных отношений между со трудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении - налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохра нительными органами).
Принцип комплексности и индивидуальности. Подразумевает невозмож ность обеспечения безопасности объекта защиты каким-либо одним меро приятием, а лишь совокупностью комплексных, взаимосвязанных и дубли рующих друг друга мероприятий, реализуемых с индивидуальной привяз кой к конкретным условиям.
Принцип последовательных рубежей безопасности. Предполагает как можно более раннее оповещение о состоявшемся посягательстве на безо пасность того или иного объекта защиты или ином неблагоприятном про исшествии с целью увеличения вероятности того, что заблаговременный сигнал тревоги средств защиты обеспечит сотрудникам, ответственным за безопасность, возможность вовремя определить причину тревоги и органи зовать эффективные мероприятия по противодействию.
Принципы равнопрочности и равномощности рубежей защиты. Равнопрочность подразумевает отсутствие незащищенных участков в рубежах защиты. Равномощность предполагает относительно одинаковую величину защищенности рубежей защиты в соответствии со степенью угроз объекту защиты.
Принцип адекватности и эффективности. Подразумевает соответствие принимаемых мер безопасности существующим угрозам. В противном слу чае принимаемые меры защиты становятся экономически неэффективными.
Принцип адаптированности. Подразумевает гибкость системы защиты, т. е. она должна допускать развитие своей функциональной структуры без коренной ее ломки.
Принцип экономичности. Подразумевает построение системы защиты по критерию «эффективность-стоимость», т. е. при заданной и достигаемой эффективности следует применять максимально дешевые средства и меро приятия защиты.
Принцип эффективности контроля. Подразумевает создание безуслов ной системы контроля любого объекта защиты и средств защиты для любо го момента времени.
Принцип регистрации. Подразумевает регистрацию санкционированных и несанкционированных действий на всех рубежах защиты.
Принцип защиты средств обеспечения защиты. Подразумевает перво очередное обеспечение защитой любого защитного мероприятия или сред ства защиты.
ГЛАВА 2. ПРАВОВОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
§ 2.1. Понятие правового обеспечения компьютерной безопасности. Информационное законодательство Республики Беларусь
и Российской Федерации
Компьютерные преступления стали предметом научного исследования сравнительно недавно. Гносеологические аспекты природы и сущность криминалистической характеристики преступлений данного вида опреде ляют и общие методологические подходы к разработке этой характеристи ки. В связи с этим представляется весьма важным формулирование понятия компьютерного преступления.
Н. Ф. Ахраменка под компьютерным преступлением понимает «совер шение виновно-общественно-опасного противоправного деяния с использо ванием информационно-вычислительных систем либо с воздействием на них» [133, с. 7].
Ю. М. Батурин считает, что компьютерных преступлений как особой группы преступлений в юридическом смысле не существует, отмечая, одна ко, тот факт, что многие традиционные виды преступлений модифицирова лись из-за вовлечения в них вычислительной техники, и поэтому правиль
нее было бы говорить лишь о компьютерных аспектах преступлений, не вы деляя их в обособленную группу преступлений [9, с. 129].
Другого взгляда в этом вопросе придерживается А. Н. Караханьян. Под компьютерными преступлениями он понимает противозаконные действия, объектом или орудием совершения которых являются ЭВМ [66, с. 243].
Уголовная полиция ФРГ взяла на вооружение определение компьютер ной преступности, включающее в себя «все противозаконные действия, при которых электронная обработка информации являлась орудием их соверше ния или объектом» [121, с. 10].
Швейцарские эксперты под компьютерной преступностью подразуме вают «все преднамеренные и противозаконные действия, которые приводят к нанесению ущерба имуществу и совершение которых стало возможным прежде всего благодаря электронной обработке информации» [121, с. 4].
Ряд ученых подвергают сомнению целесообразность использования тер мина «компьютерные преступления». Например, В. В. Крылов предлагает в качестве альтернативы более широкое понятие «информационные преступ ления», которое позволяет абстрагироваться от конкретных технических средств [46, с. 11].
По нашему мнению, с точки зрения разработки практически значи мой частной криминалистической методики к числу компьютерных пре ступлений целесообразно отнести как преступления в сфере компьютерной информации, так и преступления, совершаемые с использованием компью терных технологий.
Компьютерной признается информация, т. е. сведения о лицах, предме тах, фактах, событиях, явлениях и процессах, хранящаяся в компьютерной системе, сети или на машинных носителях1.
Правовое обеспечение компьютерной безопасности - совокупность норм права, определяющих общественные отношения, которые возникают в процессе деятельности людей по безопасному использованию компьютер ной техники для обработки информации. (Схематично это определение представлено на рис. 1.2.1.)
Эти правовые нормы могут быть представлены в виде законов, положе ний, инструкций, руководств, иных нормативно-правовых документов, например, сюда относятся [94, с. 256]:
■законодательные акты в информационной сфере;
■документы и стандарты, регламентирующие общесистемные требова ния;
1 См. cm. I Закона Республики Беларусь «Об информатизации» от 06.09. J995 г.
43
Рис. 1.2.1
■документы и стандарты, регламентирующие защиту объектов информа тизации от несанкционированного доступа к информации;
■документы и стандарты, регламентирующие требования к подсистеме криптографической защиты;
■документы, регламентирующие защиту объектов информатизации от во здействий вредоносных программ;
■документы и стандарты, регламентирующие особенности защиты сетей передачи данных;
■документы и стандарты, регламентирующие защиту объектов информа тизации от утечки информации по техническим каналам;
■документы и стандарты, регламентирующие защиту зданий, помещений
иконтролируемых зон объекта информатизации;
■документы и стандарты, регламентирующие защиту объекта информа тизации от внешних воздействующих факторов;
■стандарты, регламентирующие требования к оформлению документации
идокументов на объект информатизации;
■документы и стандарты, регламентирующие оценку качества объекта информатизации, виды испытаний этих объектов;
■стандарты в области терминов и определений.
По В. И. Ярочкину, предметами правового регулирования в области обеспечения информационной, в том числе компьютерной, безопасности являются [78, с. 214]:
■правовой режим информации, средств информатики, индустрии инфор матизации и систем информационных услуг в условиях риска, средства и формы защиты информации;
■правовой статус участников правоотношений в процессах инфор матизации;
•порядок отношений субъектов с учетом их правового статуса на различ ных стадиях и уровнях процесса функционирования информационных структур и систем.
По Э . П. Крюковой [110, с. 116], правовое обеспечение информационной безопасности означает:
■защиту интересов физических лиц - путем введения норм, устанавли вающих пределы сбора и использования сведений об этих лицах со сто роны государства и иных субъектов;
■защиту интересов государства и общества - путем установления при оритетов защиты информации, охраняемой как собственность государ ства1;
■защиту интересов юридических и физических лиц - путем установления норм, регулирующих обращение с охраняемой информацией, обеспечивающей деятельность этих лиц, и установления механизмов защиты этих субъектов.
Правовое обеспечение компьютерной безопасности включает в себя ви ды деятельности, представленные на рис. 1.2.2.
Рис. 1.2.2
С учетом того, что в современных условиях все большая часть информа ции обрабатывается с использованием СКТ, данные направления можно от нести и к правовому обеспечению компьютерной безопасности.
1Собственник информации - субъект, в полном объеме реализующий права вла дения, пользования, распоряжения информацией в соответствии с законодатель ством.
В Российской Федерации основы законодательного регулирования ин формационных отношений в обществе с учетом мировой практики, совре менного уровня развития информационных технологий заложены в феде ральных законах «О связи», «Об информации, информатизации и защите информации», «О государственной тайне», «О средствах массовой инфор мации», а также в ряде других нормативных актов. В Республике Беларусь - «Об информатизации», «О государственных секретах», «Об основах госу дарственной научно-технической политики», «О стандартизации», «О сер тификации», «Об электронном документе», и др. Указанные законы лишь частично затрагивают сферу защиты информации, и на сегодня их явно не достаточно. В настоящее время в Республике Беларусь ведется работа над проектом закона «О защите информации»1, в Российской Федерации - «Об электронной цифровой подписи», «О связи».
В Республике Беларусь и Российской Федерации существуют два осно вополагающих и аналогичных по сфере деятельности закона - соответст венно «Об информатизации» и «Об информации, информатизации и защите информации».
Сферой действия этих законов являются общественные отношения, возникающие при формировании и использовании информационных ресур сов, создании и использовании информационных технологий и средств их обеспечения, защите информации, прав субъектов, участвующих в инфор мационных процессах и информатизации. Стратегия государственной поли тики у российского законодателя нацелена на качественное и эффективное обеспечение решения стратегических и оперативных задач социального и экономического развития Российской Федерации, Содержанием государст венной политики Республики Беларусь в этой же сфере является содействие информатизации, защите прав и интересов граждан при ее осуществлении.
Прерогативой государства в Российской Федерации является:
■создание и развитие государственных информационных ресурсов, ре гиональных и федеральных информационных систем и сетей;
■формирование и осуществление единой научно-технической и промыш ленной политики, поддержка проектов и программ (в том числе создание системы) привлечения инвестиций;
■обеспечение национальной безопасности;
■развитие законодательства в сфере информатизации.
Закон Республики Беларусь ставит перед государством в лице его орга нов следующие задачи:
1 См приложение 2
■организацию, формирование и использование информационных ре сурсов;
■оказание государственной поддержки информатизации;
■стимулирование создания современных информационных технологий, информационных систем и сетей;
■установление полномочий государственных органов по вопросам инфор матизации.
Таким образом, государство в Республике Беларусь лишь создает необ ходимые правовые, организационные, экономические и иные условия, со действующие развитию информатизации.
По мнению Н. Ф. Ахраменка [83, с. 101], в рассматриваемых законах од ним из ключевых является понятие документированной информации, под которым понимается зафиксированная на материальном носителе информа ция с реквизитами, позволяющими ее идентифицировать.
Законодатели Республики Беларусь и Российской Федерации едины в том, что порядок документирования информации должен устанавливаться органами государственной власти, отвечающими за организацию делопро изводства, стандартизацию документов и их массивов, безопасность госу дарства. Юридическую силу документ, полученный из автоматизированной информационной системы, получает после его подписания должностным лицом в установленном порядке или подтверждения электронной подпи сью. Совокупность документированной информации, организованной по определенным принципам и тематической направленности, образует ин формационные ресурсы. Информационные ресурсы могут находиться в собственности государства, юридических или физических лиц. В качестве собственников информационных ресурсов могут выступать:
■органы государственной власти;
■местного самоуправления;
■общественные объединения;
■организации;
■граждане (ст. 5 Закона Республики Беларусь, ст. 6 Закона Российской Федерации).
Информация автоматизированных информационных систем представля ет потенциальную угрозу безопасности интересов личности. Законодатели едины в том, что документированная информация о гражданах относится к конфиденциальной. Перечень такой информации и порядок ее использо вания в информационных системах определяются законодательством
обоих государств. Весьма полезен сопоставительный анализ двух базо вых законов1.
Закон Республики Беларусь |
f Федеральный закон |
«Об информатизации» |
1 «Об информации, информатизации |
|
и защите информации» |
Преамбула |
Статья 1. Сфера действия настоящего |
|
Федерального закона |
исключает из сферы регулирования закона отношения, |
|
связанные со СМИ и обработкой недоку- |
регулируемые Законом Российской Феде- |
ментированной информации |
рации «Об авторском праве и смежных |
|
правах» |
Статья 1. Термины, используемые в на |
Статья 2. Термины, используемые в на |
стоящем Законе, их определения. Понятие |
стоящем Федеральном законе, их опре |
информатизации. |
деления. |
Термины, которые даны в обоих законах в одинаковых редакциях: ин формация; информатизация; документированная информация; информаци онные процессы; информационные ресурсы; собственник, владелец и поль зователь информационных ресурсов, информационных систем, технологий, средств их обеспечения.
Различия в определении термина: к информационным процессам законы относят процессы сбора, обработки, накопления, хранения, а также
процессы актуализации и предоставления |
процессы поиска и распространения ин |
документированной информации пользова |
формации. |
телям. |
|
Даны также определения:
материальный носитель; информационная технология; автоматизированная или авто матическая информационная система; комплекс программно-технических средств; информационная сеть; информационная продукция, информационные услуги; дан ные; база данных; банк данных; база зна ний.
информационная система; информация о гражданах (персональные данные); конфи денциальная информация; средства обес печения автоматизированных информаци онных систем и их технологий.
Термины «информационная продукция» и «информационные услуги» определены в Федеральном законе «Об участии в между-
1 Данный материал любезно предоставлен руководителем научного коллектива «Организация защиты государственных секретов и разработка структуры госу дарственной системы защиты государственных секретов в Республике Беларусь, межведомственного и ведомственного контроля в этой сфере» кандидатом юри дических наук, доцентом В М Воронцовым (исполнитель - кандидат технических наук Э П Крюкова)
|
|
народном информационном обмене», |
|
|
а «база данных» - в Федеральном законе |
|
|
«О правовой охране программ для ЭВМ |
|
|
и баз данных». |
|
|
Статья 4. Основы правового режима ин- |
|
I формационных ресурсов. |
|
|
* |
Устанавливает, какими нормами определи- |
|
! ется правовой режим информационных ре |
|
Статья /1 Дмфмеигмровяние информа |
|
сурсов. |
s Статья 5. Документирование информа- |
||
ции. |
: ции. |
|
|
• |
Документирование информации определя- |
|
, |
ет в качестве обязательного условия вклю- |
|
j |
чение информации в информационные ре |
|
|
сурсы. |
Юридическая сила электронной цифровой подписи признается при на личии программно-технических средств, обеспечивающих идентификацию подписи, и
наличии сертификата соответствия или удостоверения о признании сертификата, выданного в национальной системе серти фикации.
Лицензирование деятельности по оказанию услуг по распространению открытых клю чей проверки подписей предусмотрено За коном Республики Беларусь «Об электрон ном документе».
Статья 5. Объекты права собственности в сфере информатизации.
Закон не упоминает о государственной тайне, а Закон «О государственных сек ретах» не предполагает ни выкуп инфор мации государством, ни возможность на хождения информации, отнесенной к госу дарственным секретам, не в собственности государства.
соблюдении установленного режима их и о < пользования.
! Требуется лицензия на осуществление i права удостоверять идентичность элек- I тронной цифровой подписи.
!
1
i
I |
Статья 6. Информационные ресурсы как |
j |
элемент состава имущества и объект пра- |
I |
ва собственности. |
! |
Пункты 1, 2 |
|
Пункт 3. Закрепляет право государства на |
| |
выкуп документированной информации у |
|
физических и юридических лиц в случае |
|
отнесения этой информации к государст- |
j |
венной тайне, а также право собственника |
; |
информационных ресурсов, содержащих |
‘ |
сведения, отнесенные к государственной |
;тайне, распоряжаться этой собственностью
;с разрешения соответствующих органов
| государственной власти.
В соответствие со статьей 14 информа ционные ресурсы государственного значе ния, сформированные на базе информа ции, предоставляемой в обязательном по рядке, находятся в республиканской собственности.
Часть 3, статья 13.
Статья 15. Права собственника информа ционных ресурсов.
Статья 14. Информационные ресурсы, имеющие государственное значение.
Предусматривается получение разрешения органа, уполномоченного Президентом Республики Беларусь, для организаций, специализирующихся на обработке ин формационных ресурсов, имеющих госу дарственное значение.
Часть 2, статья 14.
. Пункт 4. Предусматривает сохранение I прав на информацию субъектами при
;представлении ее в обязательном порядке
;в государственные органы и организации, а
!также совместное владение государства и субъектов информационными ресурсами, сформированными в таком порядке.
■Пункт 6.
,Пункты 7, 8.
Статья 7. Государственные информаци онные ресурсы.
Предусматривается источник финансиро-
:вания деятельности по формированию го сударственных информационных ресурсов (бюджет, статья расходов «Информатика»).
:Устанавливается лицензирование дея
тельности организаций по формированию
>государственных информационных ресур- ! сов.
>Статья 9. Обязательное представление
документированной информации для фор-
!мирования государственных информаци онных ресурсов.
Предусмотрено утверждение Правительст вом Российской Федерации перечней пре- ■доставляемой в обязательном порядке ин формации и перечень органов и организа-
■ций, ответственных за обработку
,федеральных информационных ресурсов. На регистрирующие органы возлагается обязанность обеспечивать юридических лиц при регистрации предоставляемых в обязательном порядке документов и адре сами их предоставления. Допускается включение в состав государственных ин формационных ресурсов документов, при надлежащих физическим и юридическим лицам, по желанию последних.