Обеспечение информационной безопасности (110
..pdf
|
|
|
|
Продолжение табл. 7 |
||
|
|
|
|
|
|
|
1 |
|
2 |
|
|
3 |
|
Админист- |
Занимается каждый |
Осуществляется централизо- |
||||
рирование |
пользователь самостоя- |
ванно. Необходим админист- |
||||
|
тельно |
|
ратор с соответствующим |
|||
|
|
|
|
уровнем знаний |
||
Достоинст- |
Низкая стоимость, от- |
Надежность защиты, быстро- |
||||
ва |
носительно высокая |
действие, простота управления |
||||
|
надежность |
|
|
|
||
Недостатки |
Сложность управления, |
Удорожание за счет использо- |
||||
|
защиты, обновления и |
вания сервера, от которого |
||||
|
изменения ПО |
|
зависит быстродействие и |
|||
|
|
|
|
надежность сети |
||
|
|
6.3. Каналы передачи данных |
||||
|
|
|
|
|
Таблица 8 |
|
|
|
Достоинства |
|
|||
Вид канала |
Скорость |
Недостатки |
||||
Витая пара не- |
низкая |
Низкая стоимость |
Плохая помехоза- |
|||
экранированная |
|
|
|
щищенность |
||
Витая пара эк- |
До 1000 |
|
|
Чувствителен к |
||
ранированная |
Мбит/с |
Прочность, поме- |
помехам, до 100 м |
|||
Коаксиальный |
10-50 |
Высокая стоимость, |
||||
кабель |
|
Мбит/с |
хозащищенность |
ограничение рас- |
||
|
|
|
Не излучает, по- |
стояния 180–500 м |
||
Оптоволокон- |
До 2 Гбит/с |
Высокая стоимость |
||||
ный кабель |
|
|
мехозащищен- |
|
||
|
|
|
ность |
|
|
|
Инфракрасное |
До 10 |
|
|
Малая область дей- |
||
излучение |
|
Мбит/с |
|
|
ствия (до 30 м), |
|
|
|
|
|
|
воздействие помех |
|
Лазер |
|
высокая |
Отсутствие |
Прямая видимость |
||
Радиосети па- |
низкая |
Плохая помехоза- |
||||
кабельного |
||||||
кетные |
|
|
щищенность |
|||
|
|
соединения |
||||
Радиосети со- |
низкая |
Высокая стоимость |
||||
|
|
|||||
товые |
|
|
|
|
|
|
Радиосети спут- |
средняя |
|
|
Высокая стоимость |
||
никовые |
|
|
|
|
|
|
|
|
|
60 |
|
|
|
6.4. Цифровая телефонная связь
Хотя в учреждениях быстро растет обмен неречевыми сообщениями, речь удерживает преимущество как средство общения либо в прямых контактах, либо в телетрафике. Поэтому коммутационная система учрежденческой деятельности должна обеспечивать в первую очередь надежную телефонную связь. Помимо обычной телефонной связи, цифровая АТС (в дальнейшем – ЦАТС) обеспечивает следующие возможности и услуги.
Уведомление занятого абонента о поступлении нового вызова (повторный вызов без набора, подключение (вмешательство) абонента
сприоритетом к занятому абоненту, передача вызова в случае занятости вызываемого абонента);
Передача вызова при отсутствии абонента (повторный вызов без набора, переадресация, передача вызова абоненту в пределах определенной группы абонентов);
Запрет входящих вызовов в определенном интервале (переадресация вызовов);
Экономия во времени (сокращенный набор абонентских номеров, наведение справки во время разговора, конференц-связь абонентов);
Широкие возможности системы учета разговоров (запись тарифных импульсов на электронном счетчике каждого абонента, запись подробной информации о разговорах – номер вызываемого абонента, номер вызывающего абонента, время начала разговора, время окончания разговора). Система учета имеет возможность изменения категорий, применения личного кода-пароля и кода вида учета;
Обслуживание телетрафика с помощью функции «автоматиче-
ское распределение вызовов» (Automatic Call Distribution, ACD); кон-
торским служащим, которым часто приходится отвечать на большое число вызовов (справки, служба бронирования или продажи) обеспечивается формирование групп с произвольным числом абонентов; вызовы к этим группам устанавливаются в очередь, а в системе заложена последовательность их обслуживания и возможность передачи к другой группе;
Речевая почта (Voice Mail) используется для приема и хранения речевых сообщений (в цифровой форме), предназначенных отсутствующему абоненту. Секретность сообщений сохраняется применением кода-пароля. Речевая почта работает в режиме «автоматизиро-
61
ванный телефон-секретарь»: сообщения передаются или принимаются для отсутствующего или занятого другими делами абонента, который в последующем на основе сигнала о наличии сообщения слушает записанную информацию. На некоторые из сообщений оставляет ответ – связь при отсутствии обоих абонентов (аналогично передаче текстовых сообщений). Абонент с услугой «почтового ящика» имеет возможность считывания сообщений в случае отсутствия на рабочем месте через сеть общего пользования. Кроме того, ему предоставляется возможность одновременной передачи сообщений в различные пункты;
Передача данных. Взаимодействие ЭВМ, терминального оборудования, большого количества ПК, печатающих устройств осуществляется с помощью коаксиальных кабелей, что является дорогим решением. С другой стороны, такое соединение неудобно для проведения изменений, а большие скорости работы не всегда нужны. Коммутируемые соединения с помощью цифрового коммутационного поля и цифровой абонентской линии ЦАТС дешевле и удобнее для применения в учрежденческой деятельности. Скорости работы системы обеспечивают выполнение часто повторяемых конторских работ, в том числе временные соединения терминалов и баз данных ЭВМ, соединения с печатающими устройствами, соединение между ПК. Цифровой абонентский шлейф ЦАТС наряду с коммутацией речевой информации обеспечивает коммутацию неречевой информации по одной двухпроводной линии. Любой информационный канал цифровой линии, как для речи, так и для данных, коммутируется на скорости 64 Кбит/с. Речь и данные передаются автономно и одновременно: разговорное соединение устанавливается во время передачи данных и обратно, а система обеспечивает возможность одновременной коммутации обоих видов связи к различным адресатам. Это особенно удобно при построении деловых, ведомственных и специальных сетей. При соединении с аналоговыми станциями должны использоваться модемы.
6.5. Транковая радиосвязь
Идеология, заложенная при разработке транковых систем, направлена на решение следующих проблем: основной объем переговоров (трафик) происходит внутри организации или региона и только 10–15% трафика приходится на внешние переговоры. В этом транковые системы имеют значительное преимущество перед сотовыми, ко-
62
торые прекрасно решают только проблему внешних контактов. Стоимость транковых систем на порядок ниже, и организация сама может стать владельцем такой системы, избавляя себя от абонентской платы и платы за трафик. Концепция транкинга основывается на предположении, что каждый абонент использует систему в течение небольшого времени и в каждый конкретный его момент на связи находится ограниченное число пользователей.
Например: при типичном режиме загрузки пятиканальной транковой системы время каждого канала используется в среднем на 50 %. Это значит, что если бы эти каналы не были транковыми (т. е. каждому пользователю был бы доступен только один канал), то вероятность получения сигнала «занято» была бы равна 50 %. Однако при пяти работающих каналах одновременно все они заняты менее 4% времени. Таким образом, в случае, если каждый пользователь имеет автоматический доступ к нескольким каналам связи, вероятность получения сигнала «занято» существенно уменьшается. Абонентов к сети подключено заведомо больше, чем имеется в ее распоряжении каналов. Электронная система отслеживает расположение абонентов в пространстве и распределяет имеющиеся в ее распоряжении радиоресурсы самым выгодным образом. Неудаленные объекты могут общаться непосредственно напрямую. Для соединения более удаленных объектов подключается базовое транковое оборудование. И только для выхода в городскую телефонную сеть или соединения с другой – сотовой или транковой – системой задействуются телефонные линии и станции.
Абонент транковой системы получает в свое распоряжение переносную или автомобильную радиостанцию, которая внешне очень напоминает радиотелефон. У них есть только одно существенное отличие: портативные транковые радиостанции, сочетающие в себе повышенную мощность, облегченный вес и невысокую цену, относятся к классу «Push to Talk» – «Нажми, чтобы говорить». Впрочем, эта проблема разрешается уже во многих автомобильных радиостанциях, которые за счет небольшого увеличения веса, размера и стоимости обеспечивают одновременный прием и передачу радиосигнала. Каждое такое устройство, как и телефон, имеет свой уникальный номер. Центральный контролер системы по специальному управляющему радиоканалу постоянно передает информацию о свободных каналах и текущих вызовах. В режиме ожидания радиостанция постоянно настроена на него, а в момент поступления вызова контролер автоматически пе-
63
реключает абонентов на свободный канал. Кроме экономии транковая система предлагает также широкий спектр дополнительных возможностей:
1)осуществление селекторной связи, при которой несколько абонентов сети могут сообщаться друг с другом одновременно или получать одно и то же сообщение;
2)возможность передавать не только голосовую, но и любую цифровую информацию, включая зашифрованные сообщения и передачу компьютерных данных;
3)предельная конфиденциальность, надежная защита от прослушивания, любой утечки информации;
4)надежность, поскольку изначально разрабатывалась в расчете на экстремальные службы – полицию, скорую помощь, пожарных.
Типы транковых систем. В настоящее время можно выделить три основных вида транковых систем.
Сканирующий транкинг. При этом способе управления транковой системой ретрансляторы не связаны между собой и интеграция системы в единое целое осуществляется на уровне абонентской станции. С помощью сканирующего транкинга можно создавать недорогие базовые станции с количеством каналов от 1 до 16 на основе любых ретрансляторов, а также использовать в качестве абонентских станций обычные связные УКВ радиостанции с установленными в них недорогими логическими модулями. Их основные качества – простота, надежность, невысокая стоимость, ограниченный территориальный охват. Наиболее популярными в этом классе во всем мире и в России в частности стали системы SmarTrunk II компании Selectone. Они идеальны для оперативной и мобильной радиотелефонной связи в одной зоне радиуса 30–50 км. Но наряду с преимуществами у этих систем есть и недостатки. Один из них – большое время установления связи, что ограничивает количество каналов базовой станции и делает эти системы непригодными для некоторых потребителей. Кроме того, изза отсутствия централизованного управления на базе сканирующего транкинга создать полноценные многозоновые системы невозможно. Область применения SmartTrunk II – небольшие однозоновые сети служебного и коммерческого назначения с невысокой стоимостью одного абонента и возможностью выхода на городские и ведомственные АТС. Количество абонентов от 2 до 1000.
64
Системы с выделенным контрольным каналом обладают воз-
можностью регионального и межрегионального объединения, интеграции с телефонными и сотовыми сетями. Самым распространенным стандартом является МРТ 1327, одобренный Минсвязи РФ. Он стал уже де-факто общеевропейским, распространен в Азии, Австралии, Латинской Америке. В этом случае один из каналов транковой системы используется как служебный. В режиме ожидания все абоненты станции находятся в положении приема на контрольном канале. При необходимости установить связь станция посылает запрос на контрольном канале. Контроллер базовой станции выбирает свободный рабочий канал и переключает на него обе абонентские станции. После окончания сеанса связи станции освобождают его и снова переключаются на контрольный канал. При этом рабочий канал вновь поступает в общее пользование и может быть применен для другого сеанса связи. Базовая станция системы с выделенным контрольным каналом существенно дороже, чем базовая станция системы сканирующего транкинга, но обладает существенно большими возможностями. Во-первых, время установлений связи равно приблизительно 0,3 с, а во-вторых, возможно создание многозоновых сетей с возможностью ведения межзоновых переговоров. При увеличении числа каналов и пользователей стоимость таких систем в расчете на одного абонента становится соизмерима с системами сканирующего транкинга. Системы стандарта МРТ-1327 применяются при организации сетей радиотелефонной связи, имеющих большую зону действия или протяженность, а также при необходимости установить несколько базовых станций. Кроме того, эти системы наиболее оптимальны, если важно малое время установления связи. Оборудование этого стандарта производят фирмы
Motorola, Fylde Microsystems, Nokia, Stanilite и др. Количество абонен-
тов такой сети не ограничено.
Роуминг (от англ. roaming – блуждание) – автоматическое непрерывное обслуживание мобильного абонента, двигающегося из зоны действия сети одного оператора в зону действия другого в пределах одного государства (национальный роуминг), либо перемещающегося из одной страны в другую (международный роуминг).
6.6.Сотовая телефонная связь
Внастоящее время существуют три основных способа множественного доступа, позволяющих большому количеству пользователей
65
делить между собой общую группу каналов в пределах радиоспектра, выделенного для работы данной системы:
–FDMA (Frequency Division Multiple Access) – множественный доступ с частотным разделением. Стандарты NMT-450 и AMPS;
–TDMA (Time Division Multiple Access) – множественный дос-
туп с временным разделением;
–CDMA (Code Division Multiple Access) – множественный дос-
туп с кодовым разделением.
Сотовый стандарт второго поколения GSM-900 и его аналоги (в диапазонах частот 1800 МГц – стандарт DSC 1800 в Европе, и 1900 МГц – стандарт PCS 1900 в США) – разновидность TDMA, принят к реализации в большинстве стран земного шара. Он позволяет реализовать ряд преимуществ по отношению к аналоговым стандартам первого поколения NMT-450 и AMPS (а также его цифрового варианта DAMPS IS-54), который принят в 14 странах, включая Россию, для построения сетей сотовой связи. Например, по данным одной из ведущих фирм-разработчиков оборудования и систем связи Ericsson для обеспечения одинаковой дальности связи мощность передатчика абонентской станции сети DAMPS должна быть в несколько раз больше, чем в GSM. Эти же соотношения и для вероятности ошибки в канале связи. Мощность ручных абонентских радиотелефонов GSM составляет всего 100 и 250 мВт, а мощность ручных абонентских радиотелефонов DAMPS равна 600 мВт. Преимущества GSM в этом плане очевидны, так как значительно снижают вредное биологическое воздействие высокочастотного излучения на организм человека. Кроме того, высокие энергетические характеристики канала связи GSM позволяют увеличить качество связи и время непрерывной работы ручных радиотелефонов с одним источником питания. Однако не только эти особенности стандарта GSM сделали его «глобальным», признанным лидером сотовой связи на всех континентах; он обладает рядом возможностей, которые не реализованы в других стандартах сотовой связи:
использование SIM-карт для доступа к каналу и услугам связи;закрытый для подслушивания радиоинтерфейс;шифрование передаваемых сообщений;
аутентификация абонента и идентификация абонентского обо-
рудования по криптографическим алгоритмам;
использование службы коротких сообщений;
автоматический роуминг абонентов различных сетей GSM.
66
Одним из ключевых моментов в организации связи стандарта GSM является использование модуля подлинности абонента (SIMкарт): пока в станции нет карты – услуги связи не предоставляются. SIM-карта позволяет абоненту пользоваться любой станцией стандарта GSM, например, установленной в такси, поезде или в телефонной будке. В стандарте GSM используется устройство, исключающее случайное или специальное подслушивание переговоров абонентов – закрытый радиоинтерфейс речевых сообщений и данных осуществляется пакетами в сложной структуре временных (ТDМА) кадров. На одной и той же рабочей частоте могут одновременно «разговаривать» восемь пар абонентов. Доступ абонентских станций к каналу связи без SIM-карт и полномочий, предоставляемых сетью, исключается. Полная гарантия безопасности связи обеспечивается в стандарте GSM шифрованием передаваемых сообщений по методу с «открытым ключом». Использование автоматического роуминга («блуждания») абонентов, применяемого в стандарте GSM, позволило снять ограничения на предоставление услуг подвижной связи в рамках одной сети. Так как оборудование общеевропейского цифрового стандарта GSM отвечает самым современным требованиям и этот стандарт принят многими странами мира, было решено на его основе строить федеральную цифровую сотовую сеть России. Базовая станция при работе абонента фиксирует дополнительно азимут антенны, что позволяет установить местоположение абонента с точностью не более 15 метров. Существенным недостатком рассмотренных стандартов является наличие служебного канала, по которому производится запрос на связь и дистанционное управление (перестройка частоты работы) абонентского терминала. Заглушив данный канал направленной помехой, можно лишить группу абонентов возможности связи.
В CDMA, регламентированном международным стандартом IS-95, применяется технология расширенного спектра, при котором все абоненты одновременно используют один участок частотного спектра.
Преимущества данного стандарта:
более высокая емкость системы;
меньшая вероятность блокировки вызова (отказа в соединении абонентов);
уменьшение мощности излучения и потребляемой мощности;
сокращение количества базовых станций при охвате той же территории.
67
Еще одно преимущество CDMA – повышенная скрытность передачи информации. Технология изначально разрабатывалась для военных целей и обеспечивает высокую помехоустойчивость связи и стойкость против перехвата. Настройка на канал и последующая расшифровка персональных кодов невозможна, а прицельные помехи могут вызвать ухудшение качества, но не нарушают связь, поскольку воздействуют лишь на узкую область спектра. В России данный вид сотовой связи распространен более чем в 10 регионах.
Вопросы для самоподготовки
1.Чем определяется необходимость использования протокола открытых систем? В чем заключаются преимущества и недостатки его использования в Internet?
2.Укажите отличительные особенности локальных и глобальных сетей.
3.Перечислите основные топологии локальных сетей, их основные достоинства и недостатки.
4.В чем основные отличия одноранговых локальных сетей и сетей с выделенным сервером? Какие сети являются предпочтительными
сточки зрения защиты информации?
5.Назовите дополнительные сервисные функции цифровой телефонной связи.
6.Определите назначение и преимущества использования транковой радиосвязи. Укажите типы транковых систем и их возможности.
7.Назовите основные типы сотовой телефонии. Каковы основные различия протоколов FDMA, TDMA, CDMA?
8.Определите понятие РОУМИНГ. Укажите виды роуминга.
68
7. ПРАВОВЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ
7.1.Основные направления защиты информационной сферы
Вобласти информационной безопасности можно выделить три основных направления правовой защиты объектов:
1. Защита интересов личности, общества, государства от воздействия вредной, опасной, недоброкачественной информации. Обеспечивается институтом массовой информации, институтом документированной информации, нормами УК РФ и КоАП РФ;
2. Защита информации, информационных ресурсов и информационных систем от неправомерного воздействия посторонних лиц. Обеспечивается институтом документированной информации, институтом государственной тайны, институтом коммерческой тайны, институтом персональных данных, нормами УК РФ, КоАП РФ и ГК РФ;
3. Защита информационных прав и свобод. Обеспечивается институтом интеллектуальной собственности, институтом документированной информации, нормами УК РФ, КоАП РФ и ГК РФ.
7.2.Формирование информационного права
вРоссийской Федерации
Правовое регулирование в области информационных отношений осуществляется рядом законодательных актов, в том числе федеральными законами. В период с 1991 по 1996 гг. были приняты законы, которые внесли правовую определенность в явление компьютеризации нашего общества вообще и проблему компьютерной преступности в частности, и вместе с другими правовыми актами сформировали пласт, именуемый информационным правом, охватывающим в настоящее время несколько сот нормативных правовых актов.
Важным шагом вперед является признание информации в качестве объекта гражданских прав (ст. 128 Гражданского кодекса РФ).
В основу принятых в 1992 году законов «О правовой охране топологий интегральных микросхем» (№3526-I от 23.09.92 г.) и «О правовой охране программ для электронных вычислительных машин и баз данных» (№ 3523-I от 23.09.92 г.) легла идея урегулировать отношения в сфере защиты прав авторов и разработчиков программного и технического обеспечения ЭВМ. В них определены понятия и термины:
69
программа для ЭВМ, база данных, адаптация программы для ЭВМ или базы данных, модификация (переработка) программы или базы данных, использование программы для ЭВМ или базы данных и т.д.
Под программой для ЭВМ понимается объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.
База данных – это объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.
Важным является тот факт, что программы для ЭВМ и базы данных впервые в законодательной практике были отнесены к объектам авторского права. Кроме того, сформулированы понятия исключительных авторских прав разработчиков программ – авторство, личные права, имущественные и другие права; регламентирован порядок использования программ для ЭВМ и баз данных. В разделе, посвященном защите прав, предусматривается возможность наложения ареста на экземпляры программы для ЭВМ или базы данных, изготовленные, воспроизведенные, распространенные, проданные, ввезенные или иным образом использованные либо предназначенные для использования в нарушение прав авторов программы для ЭВМ или базы данных и иных правообладателей. Там же указано, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо их незаконное воспроизведение или распространение влечет за собой уголовную ответственность.
Предметом регулирования закона «Об авторском праве и смежных правах» (№ 5351-I), принятого 9.07.93 г., стали отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания (смежные права). В законе указано, что он является элементом законодательства России об авторском праве и смежных правах наряду с другими актами, в том числе законом «О правовой охране программ».
Здесь повторяются и уточняются ряд формулировок закона «О правовой охране программ», разграничивающих авторские права на
70
программы и базы данных и смежные права. Согласно закону правовая охрана программ для ЭВМ распространяется на все виды программ (в том числе на операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код. Оговорены случаи свободного воспроизведения программ и баз данных. Свободное воспроизведение допускается при условии правомерного владения экземпляром программы или БД в случаях:
•исправления явных ошибок,
•внесения изменений исключительно в целях функционирования на средствах пользователя,
•изготовления архивной копии.
Целью принятия закона РФ «О государственной тайне» (№ 5485-1 от 21.07.93 г.) стало регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
В законе имеется ряд важных терминов, раскрывающих природу этих специальных информационных отношений. В частности, под го-
сударственной тайной законом понимаются защищаемые государст-
вом сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Важным понятием является определение носителей сведений, составляющих государственную тайну. Это – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов. Из определения видно, что закон рассматривает физические поля как материализованную субстанцию и как носитель информации или совокупность сигналов, передающих ее.
К средствам защиты информации отнесены технические,
криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Еще одним важным понятием является
доступ к сведениям, составляющим государственную тайну, кото-
рый определен как санкционированное полномочным должностным
71
лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.
Предметом регулирования ФЗ «Об информации, информатизации и защите информации» (№ 24-Ф3), принятого 20.02.95 г., стали отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации. Закон не затрагивает отношений, регулируемых законодательством об авторском праве и смежных правах. Законом определен ряд важнейших понятий:
информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
документированная информация – зафиксированная на мате-
риальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информатизационные процессы – процессы сбора, обработки,
накопления, хранения, поиска и распространения информации; информационная система – организационно упорядоченная
совокупность документов (массивов документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
конфиденциальная информация – документированная инфор-
мация, доступ к которой ограничивается в соответствии с законодательством РФ;
средства обеспечения автоматизированных информацион-
ных систем и технологий – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин, средства вычислительной техники и свя-
72
зи, словари, тезаурусы и классификаторы инструкции и методики, положения, уставы, должностные инструкции, схемы и их описания, другая, эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;
собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами: владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом;
пользователь (потребитель) информации – субъект, обра-
щающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Из определений, данных в законе следует, что только документированная информация рассматривается как объект регулирования и выступает в качестве объекта собственности и защиты.
Целью ФЗ «Об участии в международном информационном обмене» (№ 85-Ф3), принятого 5 июня 1996 года, является создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов РФ, субъектов РФ и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.
В дополнении к определениям, установленным ранее, данный закон ввел ряд новых определений, из которых, пожалуй, основным является информационная безопасность. Под этим термином пони-
мается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Таким образом, обобщив основные положения законодательства
вобласти информатизации, можно сказать, что:
1.Информацией является совокупность предназначенных для передачи формализованных знаний и сведений о предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
73
2.Правовой защите подлежит любая документированная информация, т.е. информация, облеченная в форму, позволяющую ее идентифицировать.
3.Документированная информация является объектом гражданских прав и имеет собственника.
4.Информация, ознакомление с которой ограничивается ее собственником или в соответствии с законодательством, может быть конфиденциальной, а предназначенная для неограниченного круга лиц – массовой.
5.Ограничение (установление режима) использования информации определяются законом или собственником информации, которые объявляют о степени ее конфиденциальности.
6.Конфиденциальными в соответствии с законом являются, в частности, такие виды информации:
• государственная тайна (закон РФ «О государственной тайне»,
ст. 275, 276, 283, 284 УК РФ),
• тайна переписки, телефонных переговоров, почтовых телеграфных или иных сообщений (ч.2 ст. 23 Конституции РФ, ст. 138 УК РФ),
• тайна усыновления (ст.155 УК РФ),
• служебная тайна (ст. 139 УК РФ),
• коммерческая тайна (ст. 139 ГК РФ и ст.183 УК РФ),
• банковская тайна (ст.183 УК РФ),
• личная тайна (ст. 137 УК РФ),
• семейная тайна (ст. 137 УК РФ),
• информация, непосредственно затрагивающая права и свободы гражданина или персональные данные (Федеральный закон «Об информации, информатизации и защите информации», ст. 140 УК РФ),
• и др.
7.Любая форма завладения и пользования конфиденциальной документированной информацией без прямого выраженного согласия
еесобственника (за исключением случаев, прямо указанных в законе) является нарушением его прав, т.е. неправомерной.
8.Неправомерное использование документированной информации наказуемо.
9.Нарушение законодательных норм, заложенных в перечисленных законах, влечет гражданскую, уголовную или административную ответственность.
74
Следует также упомянуть Указы Президента РФ, которые касаются прежде всего вопросов формирования государственной политики в сфере информатизации (включая организационные механизмы), создания системы правовой информации, информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).
Таким образом, до 1 января 1997 года на уровне действующего законодательства России можно было считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве права граждан на доступ к информации и защита информации, т.е. то, что напрямую связано с компьютерными преступлениями. Часть указанных пробелов в общественных отношениях в области компьютерной информации была ликвидирована после введения в действие с 1 января 1997 года Уголовного кодекса, принятого Государственной думой 24 мая 1996 года.
7.3.Уголовный кодекс Российской Федерации о преступлениях
всфере компьютерной информации
До момента вступления в силу (до 1-го января 1997 г.) УК РФ, несмотря на явную общественную опасность, данные посягательства не были противозаконными, т.е. они не упоминались нашим уголовным законодательством, хотя еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Уголовный кодекс РФ установил нормы, объявляющие общественно опасными деяниями конкретные действия в сфере компьютерной информации и устанавливающие ответственность за их совершение. Такие нормы появились в российском законодательстве впервые.
Для обеспечения правовой защиты компьютерной информации и компьютерных систем законодателем введены в Уголовный кодекс Российской Федерации (УК РФ) три статьи, объединенные в главе 28 «Преступления в сфере компьютерной информации». Рассмотрим подробнее все три статьи УК РФ, ставя целью обрисовать основные признаки совершения компьютерных преступлений, т.е. предусмотренных уголовным законодательством виновных нарушений охраняемых за-
75
коном прав и интересов в отношении информационных компьютерных систем.
Статья 272 УК. Неправомерный доступ к компьютерной информации.
Предусматривается ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло: уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем.
Данная статья защищает право владельца на неприкосновен-
ность информации в системе. Владельцем информационной вычисли-
тельной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы (ЭВМ, сети ЭВМ) или как лицо, приобретшее право использования компьютера.
Неправомерным признается доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой. Важным является наличие причинной связи между несанкционированным доступом и наступлением предусмотренных статьей 272 последствий, поэтому простое временное совпадение момента сбоя в компьютерной системе, которое может быть вызвано неисправностями или программными ошибками, и неправомерного доступа не влечет уголовной ответственности.
Неправомерный доступ к компьютерной информации должен осуществляться умышленно. Совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность наступления указанных в законе последствий, желает и сознательно допускает их наступление либо относится к ним безразлично. Мотивы и цели данного преступления могут быть любыми: корыстный мотив, цель получить какую-либо информацию, желание причинить вред, желание проверить свои профессиональные способности. Исключение мотивов и целей как необходимых признаков указанного преступления позволяет применять ст. 272 УК к всевозможным компьютерным посягательствам.
Статья состоит из двух частей. В первой части наиболее серьезное воздействие к преступнику состоит в лишении свободы до двух лет.
76
Часть вторая ст. 272 предусматривает в качестве признаков, усиливающих уголовную ответственность при его совершении группой лиц, с использованием лицом своего служебного положения, лицом, имеющим доступ к информационной вычислительной системе, и до-
пускает вынесение приговора с лишением свободы до пяти лет.
По уголовному законодательству субъектами компьютерных преступлений могут быть лица, достигшие 16-летнего возраста, однако часть вторая ст. 272 предусматривает наличие дополнительного признака у субъекта совершившего данное преступление, – служебное положение, а равно доступ к ЭВМ, системе ЭВМ или их сети, способствовавших его совершению.
Статья 272 УК не регулирует ситуацию, когда неправомерный доступ осуществляется в результате неосторожных действий, что, в
принципе, отсекает огромный пласт возможных посягательств и даже те действия, которые действительно совершались умышленно, т.к. при расследовании обстоятельств доступа будет трудно доказать умысел компьютерного преступника (например, в сети Интернет, содержащей миллионы компьютеров, в связи со спецификой работы – переход по ссылке от одного компьютера к другому, довольно легко попасть в защищаемую информационную зону, даже не заметив этого).
Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273) предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами. Статья защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации.
Под созданием вредоносных программ в смысле ст. 273 УК РФ понимаются программы, специально разработанные для нарушения нормального функционирования компьютерных программ. Под нор-
мальным функционированием понимается выполнение операций,
для которых эти программы предназначены, определенные в документации на программу. Для привлечения к ответственности по ст. 273 необязательно наступление каких-либо отрицательных последствий для владельца информации, достаточно самого факта создания программ
77
или внесения изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье.
Под использованием программы понимается выпуск в свет,
воспроизведение, распространение и иные действия по их введению в
оборот. Использование может осуществляться путем записи в память ЭВМ, записи на материальный носитель, распространения по сетям, иной передачи другим лицам.
Уголовная ответственность по статье возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих соответствующую лицензию.
Данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершаемым действиям.
Преступление, предусмотренное частью 1 ст. 273, может быть совершено только умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. Причем цели и мотивы не влияют на квалификацию посягательства по данной статье, поэтому самые благородные побуждения (борьба за экологическую чистоту планеты) не исключают ответственности за само по себе преступное деяние. Максимально тяжелым наказанием для преступника в этом случае будет лишение свободы до трех лет.
Часть вторая ст. 273 в качестве дополнительного квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. При совершении преступления, предусмотренного ч. 2 рассматриваемой статьи, лицо сознает, что создает вредоносную программу, использует, либо распространяет такую программу или ее носители и либо предвидит возможность наступления тяжких последствий, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит этих последствий, хотя при необходимой внимательности и предусмотрительности должно и могло их предусмотреть. Данная норма закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки
78
должны предвидеть потенциально возможные последствия использования этих программ, которые могут быть весьма многообразными: смерть человека, вред здоровью, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем. По этой части суд может назначить максимальное наказание в виде семи лет лишения свободы.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274) устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Статья защищает интерес владельца вычислительной системы относительно ее правильной эксплуатации. Данная уголовная норма, естественно, не содержит конкретных технических требований и отсылает к ведомственным инструкциям и правилам, определяющим порядок работы, которые должны устанавливаться специально правомочным лицом и доводиться до пользователей.
Применение данной статьи невозможно для Интернета, ее действие распространяется только на локальные сети организаций. Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты.
Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также должно быть полностью доказано, что наступившие последствия являются результатом именно нарушения правил эксплуатации.
Определение существенного вреда, предусмотренного в данной статье, – оценочный процесс. Вред устанавливается судом в каждом конкретном случае, исходя из обстоятельств дела, однако очевидно, что существенный вред должен быть менее значительным чем тяжкие последствия.
Преступник, нарушивший правила эксплуатации, – это лицо,
в силу должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила. Преступник должен совершать свои деяния умышленно, он сознает, что нарушает правила эксплуатации, предвидит возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желает или сознательно допускает при-
79