double arrow

Информация и информационная безопасность как предмет уголовно-правовой защиты

Сегодня нормы, регламентирующие правовые аспекты деятельности электронно-вычислительной техники, предусматриваются в различных отраслях права.

Происходящая компьютеризация на просторах бывшего СССР, в том числе и в России достигла такого уровня, когда общественные отношения в этой сфере объективно требуют надлежащего уголовно-правового регулирования, так как наряду с позитивными она порождает и негативные явления, связанные со злоупотреблениями возможностями и средствами электронно-вычислительной техники.

По свидетельству экспертов из правоохранительных органов, самым лакомым сектором российской экономики для преступников является кредитно-банковская сфера. Анализ совершенных здесь за последнее время преступных деяний с использованием компьютерных технологий, а также неоднократные опросы представителей банковских учреждений позволяют выделить следующие наиболее типичные способы совершения компьютерных преступлений против банков и других финансовых учреждений.

Во-первых, все более распространенными становятся компьютерные преступления, совершаемые путем несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей.

Во-вторых, за последнее время не отмечено практически ни одного компьютерного преступления, которое было бы совершено одиночкой. Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову вычислительной техники, с тем, чтобы они осуществляли хищение крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.

В-третьих, большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков.

В-четвертых, все большее число компьютерных преступлений совершается в России с использованием возможностей, которые предоставляет своим пользователям глобальная компьютерная сеть Internet.

Таким образом, проблемы ответственности за преступления в сфере компьютерной информации порождены научно-техническим прогрессом, который и создал основу для возникновения отношений в области использования электронно-вычислительной техники.

Следует отметить, что «В современном мире информация уже давно приобрела товарный характер и выступает в качестве особого объекта договорных отношений, связанных с ее сбором, хранением, поиском, переработкой, распространением и использованием в различных сферах человеческой деятельности».

Существует довольно много критериев классификации информации.

В 1991 году была предложена следующая классификация коммерческой информации, которую можно «условно разделить на два укрупненных блока:

— научно-техническая, технологическая информация;

— деловая информация.

Каждый из них имеет свои разновидности.

Научно-техническая, технологическая информация включает:

— сведения о конструкции машин и оборудования (в том числе схемы и чертежи отдельных узлов, изделий), используемых материалах, их составах (химических и т.п.), методах и способах производства, дизайне и другие сведения о вновь разрабатываемых или производимых изделиях, технологиях, о путях и направлениях модернизации известных технологий, процессов и оборудования;

— программное обеспечение для ЭВМ и др.

Деловая информация включает:

— сведения о финансовой стороне деятельности предприятия (финансовая отчетность, состояние расчетов с клиентами, задолженность, кредиты, платежеспособность), о размере прибыли, себестоимости производимой продукции и др.;

— стратегические и тактические планы развития производства, в том числе с применением новых технологий, изобретений, ноу-хау и т.п.;

— планы и объемы реализации произведений продукции (планы маркетинга, данные о характере и объемах торговых операций, уровнях предельных цен, наличии товаров на складах и т.п.);

— анализ конкурентоспособности производимой продукции, эффективности экспорта и импорта, предполагаемое время выхода на рынок;

— планы рекламной деятельности;

— списки торговых и других клиентов, представителей, посредников, конкурентов; сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих контрактов и др.)».

Из­вестно большое количество разноплановых угроз безопасности информа­ции различного происхождения. В качестве критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации.

Немаловажную роль играет политика информационной политики безопасности.

Политика информационной безопасности (ПИБ) – совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проек­тные решения в области защиты информации. На основе ПИБ строится управление, защита и рас­пределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Для конкретной информационной системы политика безопасности долж­на быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д. При разработке и проведении политики безопасности в жизнь целесообразно соблюдать следующие прин­ципы:

1) невозможность миновать защитные средства (все информационные потоки в за­щищаемую сеть и из нее должны проходить через систему защиты информации (СЗИ). Не должно быть «тайных» модемных входов или тес­товых линий, идущих в обход экрана);

2) усиление самого слабого звена (надежность любой СЗИ определяется самым сла­бым звеном. Часто таким звеном оказывается не ком­пьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобре­тает нетехнический характер);

3) недопустимость перехода в открытое состояние (при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ);

4) минимизация привилегий (предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполне­ния служебных обязанностей);

5) разделение обязанностей (предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это имеет особое значение для предотвращения злонамеренных или неквали­фицированных действий системного администратора);

6) многоуровневая защита (предписывает не полагаться на один защитный рубеж, каким бы надеж­ным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирова­ние и аудит. Эшелонированная оборона способна по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, суще­ственно затрудняет незаметное выполнение злоумыш­ленных действий);

7) разнообразие защитных средств (рекомен­дует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального зло­умышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой на­выками преодоления СЗИ);

8) Принцип простоты и управляемости информацион­ной системы в целом и СЗИ в особенности определяет возможность формального или неформального дока­зательства корректности реализации механизмов защи­ты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное админи­стрирование;

9) обеспечение всеобщей поддержки мер безопасно­сти (носит нетехнический характер. Рекомендуется с само­го начала предусмотреть комплекс мер, направленных на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое).

Основу политики безопасности составляет способ уп­равления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название это­го способа, как правило, определяет название полити­ки безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная (мандатная), основанные соответственно на избирательном и пол­номочном способах управления доступом.

Избирательное управление доступом – метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит. Мандатное управление доступом – концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности. Кроме того, существует набор требований, усили­вающий действие этих политик и предназначенный для управления информационными потоками в системе.

Следует отметить, что средства защиты, предназна­ченные для реализации какого-либо из названных спо­собов управления доступом, только предоставляют воз­можности надежного управления доступом или информационными потоками. Определение прав дос­тупа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компе­тенцию администрации системы.

3. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ: ОСНОВНЫЕ ЭТАПЫ СТАНОВЛЕНИЯ И РАЗВИТИЯ

Трудно назвать другую сферу человеческой деятельности, которая развивалась бы столь стремительно и порождала бы такое разнообразие проблем, как информатизация и компьютеризация общества. История развития информационных технологий характеризуется быстрым изменением концептуальных представлений, технических средств, методов и сфер применения.

Еще десять лет назад бесспорным казался лозунг «Программирование – вторая грамотность», под которым подразумевалось умение каждого образованного человека создавать алгоритмы и программировать в своей предметной области на языках FORTRAN, BASIC и т.д. В современных реалиях весьма актуальным для большинства людей стало не столько программирование (в старом смысле слова), сколько умение пользоваться информационными технологиями. Проникновение компьютеров во все сферы жизни общества убеждает в том, что культура общения с компьютером становится частью общей культуры человека – термины «Word», «Excel», «Internet» стали такими же обыденными, как «телефон» или «шахматы» Информационные технологии имеют свои фундаментальные разделы: архитектура персонального компьютера, операционные системы, теоретическое программирование и др.

Мир меняется так быстро, что многие не успевают приспосабливаться к переменам. Люди, жившие в начале ХХ века, вряд ли могли себе представить нынешние технологические достижения, воспринимаемые нами как должное: самолеты, роботы, спутниковые телефоны, телевизоры и т.д. Технологии действительно могут изменять общество глубже и быстрее, чем можно себе вообразить. Всякая деятельность осуществляется по технологии, определяемой целью, предметом, средствами, характером операций и результатами.

Существует множество определений информации и информационных технологий.

Информация – совокупность знаний о различных объектах и взаимосвязях между ними. У большинства людей слово «информация» ассоциируется, прежде всего, с компьютером

Информационные технологии – система методов и способов сбора, регистрации, хранения, накопления, поиска, обработки и выдачи документальной информации по запросам пользователей

Информационные технологии – использование компьютеров для хранения, обработки и передачи знаний, а также способы создания, фиксации, переработки и распространения информации. В постмодернистских обществах использование информационных технологий является центральным фактором экономики, основой информационной революции, в рамках которой возможность переработки информации сама по себе является богатством

Информационные технологии в своем развитии прошли несколько этапов:

1. ручной – основу информационных технологий на этом этапе составляло перо, чернильница и бухгалтерская книга. Связь осуществлялась путем направления пакетов получателю;

2. механический – для обработки информации использовались пишущие машинки со съемными элементами. Связь осуществлялась по общественной почте;

3. электрическая обработка информации. Для ее обработки использовались электрические пишущие машинки со съемными элементами;

4. компьютерные технологии – для обработки информации используют автоматизированные системы управления (АСУ), затем происходит переход от вычислительных центров к распределенному вычислительному потенциалу и новым информационным технологиям, основу которых составляют: распределенная компьютерная техника, программное обеспечение и развитые коммуникации

5. сетевые технологии – обработка, хранение и обмен информации осуществляется в сети.

Как и всякая технология, информационные технологии, предполагающие технологическое применение вычислительной техники, других технических средств, включает определенный набор материальных средств (носители информации, технические средства измерения ее состояний, обработки, передачи и т.д.) и способы их взаимодействия, специалистов и совокупность определенных методов организации работы. Целью создания и широкого распространения информационных технологий является решение проблемы информатизации общества (внедрения комплекса мер, направленных на обеспечение полного и своевременного использования достоверной информации, обобщенных знаний во всех социально значимых видах человеческой деятельности).

Информатизация является реакцией общества на существенный рост информационных ресурсов и потребность в значительном увеличении производительности труда в информационном секторе общественного производства. Как показывает практика промышленно развитых стран (США, Англии, Японии), решение проблемы информатизации общества является глобальной целью развития и связывается с выходом страны в третьем тысячелетии на новый уровень цивилизации.

Компьютерные информационные технологии предполагают:

1. коллективную подготовку документов;

2. возможность оперативной работы с графической информацией;

3. представление числовых данных с помощью графических пакетов в виде различных видов графиков и диаграмм;

4. оформление и тиражирование, рассылку и передачу информации с помощью электронной почты;

5. использование различных устройств ввода/вывода информации;

6. использование пакетов прикладных программ (ППП) для решения различных экономических задач: прогноза, балансовых и т.д.

Таким образом, информационные технологии прошли длительный эволюционный путь, начиная от пера и заканчивая новейшими компьютерными технологиями.

В процессе развития информационные технологии избавляют людей от тяжелого физического труда и выводят их на более качественный уровень. Считается, что широкомасштабное внедрение новых информационных технологий повысит результативность решений, принимаемых на всех уровнях управления. Это обеспечит, в свою очередь, не только рост экономических показателей развития народного хозяйства, но и достижение качественно нового уровня открытий в фундаментальных и прикладных науках, направленных на развитие производства, создание новых рабочих мест, повышение жизненного уровня населения, защиту окружающей среды.


Сейчас читают про: