Глава 15

ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ И ПРАВ НА НИХ

Вопросы понятия информационной системы как объекта права, основных объектов и субъектов правоотношений, их классификации при создании и эксплуатации информационных систем были рассмотрены ранее в параграфе 3 главы 4 учебника. Здесь мы подробнее рассмотрим особенности и проблемы правовой охраны и защиты информационных систем и прав на них, в том числе в Интернет.

15.1. Основные угрозы информационным системам и правам на них

Источники права об информационных системах. К основным источникам права относятся:

а) нормы законов - Гражданский кодекс РФ (разделы 1, 2);Уголовный кодекс РФ (глава 28); Федеральный закон "Об обязательном экземпляре документов" от 29 декабря 1994 г. № 77- ФЗ; Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ; Федеральный закон"Об участии в международном информационном обмене" от 4 июля 1996 года № 85-ФЗ; Федеральный закон "О связи" от 16 февраля 1995 г. №15-ФЗ; Закон РФ "О сертификации продукции и услуг" от 10 июня 1993 г. № 5151-1 (с изменениями и дополнениями, внесенными Федеральным законом от 27 декабря 1995 г. № 211-ФЗ);

б) подзаконные нормативные правовые акты - "Концепция правовой информатизации России", утвержденная Указом Президента Российской Федерации от 23 апреля 1993 г. № 477; Указ Президента Российской Федерации от 27 декабря 1993 г. № 2293

"Вопросы формирования единого информационно-правового пространства Содружества Независимых Государств"; Указ Президента Российской Федерации от 31 декабря 1993 г. № 2334 "О дополнительных гарантиях права граждан на информацию"; Указ Президента Российской Федерации от 20 января 1994 г. № 170; Указ Президента Российской Федерации от 17 февраля 1994 г. № 328 "Вопросы деятельности Комитета при Президенте Российской Федерации по политике информатизации"; Указ Президента Российской Федерации от 21 февраля 1994 г. № 361 "О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации"; Указ Президента Российской Федерации от 1 июля 1994 г. № 1390 "О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации"; Президентская программа "Правовая информатизация органов государственной власти Российской Федерации", утвержденная Указом Президента Российской Федерации от 4 августа 1995 г. № 808; Постановление Правительства РФ от 12 января 1996 г. № 11 "Об улучшении информационного обеспечения населения Российской Федерации"; ведомственные нормативные акты ("Основные направления информатизации Вооруженных Сил Российской Федерации", одобренные Минобороны Российской Федерации; концепция создания единой телекоммуникационной системы Минобороны России "Широта"; концепция создания информационно-телекоммуникационной системы специального назначения (ИТКС) ФАПСИ);

в) Международные договоры и соглашения - Концепция формирования информационного пространства СНГ, утвержденная решением Совета Глав Правительств СНГ от 18 октября 1996 г.;

Рекомендательный законодательный акт МПА СНГ "О принципах регулирования

информационных отношений в государствах - участниках Межпарламентской Ассамблеи"

от 23 мая 1993 г.;

Рекомендация СЕ (1970) "О средствах массовой коммуникации и правах человека";

Конвенция (108) ЕС от 28.01.81 "О защите личности в отношении автоматизированной

обработки персональных данных";

Рекомендация СЕ (1984) "О деятельности Совета Европы, относящейся к средствам

массовой коммуникации";

Решение 87/95/ЕЕС от 22.12.86 (стандартизация в области информационной технологии и

связи);

Рекомендация СЕ (1989) "О Европейской Конвенции по трансграничному телевидению";

Конвенция СЕ (1989) "Европейская Конвенция о трансграничном телевещании";

Резолюция СЕ (1990) "О развитии телекоммуникаций в Европе";

Декларация СЕ (1991) "О политике в области средств массовой коммуникации в

меняющейся Европе";

Директива 91/2 5 О/ЕС "О правовой защите компьютерных программ";

Директива 91/1 О/ЕС "О правах на аренду, заем и другие смежные права, авторские права в

области интеллектуальной собственности";

Директива 91/83/ЕС "О координации определенных постановлений в отношении авторских

и смежных прав при передаче через спутники и по кабельным сетям";

Директива 95/46/ЕС от 24.10.95 "О защите личности при автоматической обработке

персональных данных и о свободном обращении этих данных";

Директива 96/9/ЕС "О правовой защите баз данных";

Директива 97/13/ЕС (лицензии в области связи);

Директива 97/33/ЕС (взаимодействие через открытые сети);

Директива 97/66/ЕС от 15.12.97 (обработка персональных данных и защита

конфиденциальной информации в секторе связи) и др.

Сегодня существует множество классификаций видов угроз, среди которых различают:

угрозы в отношении информации, циркулирующей в информационных системах, и угрозы

собственно информационным системам; внешние и внутренние угрозы; по источникам

угроз, по принципам и способу их воздействия на информационные системы, по целям

воздействия и по используемым при этом средствам и т. д.

Одновременно с усилением зависимости развития человечества от информатизации

активизируются попытки обратить эту зависимость в свою пользу, как со стороны

высокоразвитых стран, так и со стороны тех, кто серьезно отстает от этих процессов. Так,

например, в США не скрывают своих претензий на мировое лидерство, в том

числе путем завоевания превосходства в этой сфере. В то же время, по оценкам

американских экспертов, от 30 до 50 государств считают США объектом компьютерного

шпионажа. Так, еще в июне 1996 года на состоявшихся слушаниях в Конгрессе США было

отмечено, что защита американских информационных и телекоммуникационных систем от

информационного воздействия является одной из главных составляющих обеспечения

национальной безопасности страны. С целью усиления координации проводимых работ в

данном направлении бывшим директором ЦРУ Д. Дейчем тогда было высказано

предложение по созданию при Агентстве национальной безопасности (АНБ) США

специального центра для ведения информационной войны и отражения угроз в указанной

области.

По оценке ФАПСИ- внешняя угроза информационной безопасности в национальных

информационно-телекоммуникационных системах может проявляться в следующих

формах:

сбор конфиденциальной информации в различных системах связи, в том числе путем

несанкционированного доступа (НСД) в компьютерные сети;

использование, в основном, импортных аппаратных и программно-аппаратных комплексов при создании отечественных информационно-телекоммуникационных систем, что существенно увеличивает возможности иностранных спецслужб получать важную конфиденциальную информацию из наших телекоммуникационных систем (ФАПСИ располагает сведениями о так называемых "скрытых функциональных возможностях" программного обеспечения и других средствах и методах перехвата информации, которые могут быть заложены в телекоммуникационные системы. Актуальной проблемой в данной области является выявление в программном продукте иностранного производства скрытых функциональных возможностей, в том числе средств конспиративного (негласного) съема информации, реализующих деструктивные функции в системе);

попытки продвижения на российский рынок зарубежных средств защиты информации, разработанных, в большинстве своем, с учетом интересов иностранных спецслужб. (В связи с этим

принципиально недопустимо использование для закрытия государственно значимой информации импортных средств шифрования. Именно такая норма содержится в законодательстве США, где запрещено использовать технические и программные средства зарубежного производства в интересах обеспечения национальной безопасности); использование информационного оружия против информационных систем (что рассматривалось в первой главе);

подключение к открытым информационным системам, в том числе Интернет, наряду с прогрессом в продвижении к единому информационному пространству таит в себе и специфические опасности для национальных информационных систем. Наряду с проявлениями внешней угрозы вмешательства в информационные системы существуют и внутренние угрозы. Среди них принято выделять:

попытки проникновения "хакеров" в компьютерные сети органов государственной власти, банков, предприятий и т. п.;

утрата конфиденциальных сообщений, передаваемых средствами документальной электросвязи, кражи и уничтожение банковской информации и программного обеспечения систем электронных платежей, отправка фальшивых авизо с использованием кодов подтверждения достоверности межбанковских операций и возможностей локальных сетей коммерческих банков. По данным специалистов США, снятие элементов защиты информации с компьютерных систем приведет к разорению 20% средних компаний в течение нескольких часов, 48% потерпят крах через несколько дней, 33% банков "лопнет" через несколько часов, 50% - через несколько дней. Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд долл. В России ущерб от компьютерных преступлений до сих пор интегрально не подсчитывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной. В связи с этим компьютерная преступность становится важнейшей проблемой как для России, так и для всего мирового сообщества.

Наряду с этим к внутренним угрозам, по мнению профессора Липаева В. В. - автора многих книг об открытых системах, следует отнести непредумышленные дефекты самих информационных систем и действия операторов, что может также привести к возникновению нештатных ситуаций в информационных системах. По источникам угроз безопасности все угрозы можно разделить натри группы.-Антропогенные (непосредственно созданные людьми) - непреднамеренные или преднамеренные действия: обслуживающего персонала и управленческого персонала, программистов, пользователей, архивной службы, службы безопасности информационной системы; действия несанкционированных пользователей (деятельность иностранных разведывательных и специальных служб, криминальных структур, недобросовестных партнеров и конкурентов, а также противозаконная деятельность иных отдельных лиц). Техногенные (некачественные технические и программные средства обработки информации; средства связи, охраны, сигнализации; другие технические средства,

применяемые в учреждении; глобальные техногенные угрозы (опасные производства, сети энерго-, водоснабжения, канализации, транспорт и т. п.), приводящие к пропаже или колебаниям электропитания и других средств обеспечения и функционирования, отказам и сбоям аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи (оптические, электрические, звуковые) и т. п.). Природные (стихийные бедствия, магнитные бури, радиоактивное воздействие). Например, мировой опыт и статистический анализ случаев компьютерных преступлений в банковской сфере показывает, что среди них: кража денег - 36%; кража услуг - 34%; кража информации - 12%; подделка данных - 8%; вымогательство - 4%; нанесение ущерба программам - 2%; нанесение ущерба оборудованию - 2%; помехи нормальной работе - 2%. По наличию умысла угрозы подразделяются на преднамеренные (с умыслом) и непреднамеренные (случайные). С учетом анализа международного опыта зашиты информации и опыта проведения аналогичных работ в отечественных организациях злоумышленные действия персонала, работающего в учреждении, можно разделить с учетом социальных предпосылок, характерных для России, на четыре основные категории:

а) Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств. Такая категория действий может вызвать весьма серьезные последствия, если даже информация при этом не подвергается никаким воздействиям.

б) Кража - чтение или копирование информации, хищение носителей информации с целью получения данных, которые могут быть использованы против интересов владельца (собственника) информации.

в) Модификация информации - внесение несанкционированных изменений в данные, направленные на причинение ущерба владельцу (собственнику) информации.

г) Разрушение данных - необратимое изменение информации, приводящее к невозможности ее использования.

Обобщая данные анализа, при этом можно констатировать, что вероятность реализации случайных угроз выше, чем преднамеренных, но финансовый ущерб больше от реализации последних.

По средствам воздействия на информационные системы наиболее полный известный анализ угроз и их общую классификацию дан в исследованиях группы отечественных ученых под руководством П. Д. Зегжды.

По данным глобального опроса в 50 странах мира среди 1600 специалистов в области защиты информации, который проводили летом 1998 г. компании Information Week и Pricewaterhouse Coopers, самая распространенная угроза безопасности в 1997 г. - это компьютерные вирусы. Если в 1991 г. вирусная угроза была зафиксирована 22% опрошенных, а в 1992 г. - 44%, то в 1997 г. - более 60%. При этом большая часть угроз по-прежнему исходят изнутри компании: 58% опрошенных компаний предполагают, что один или более сотрудников и других авторизованных пользователей злоупотребляли своими правами (в 1991 г. - 75%). Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев; поставщики и покупатели являются источниками атак только в 12%

случаев. "Соотношение внутренних/внешних угроз - 60:40, ранее - 80:20. По некоторым оценкам, число вирусов удваивается каждый год. Как следствие, антивирусные средства являются самыми распространенными средствами защиты информации (среди опрошенных компаний (более 90%). Следующим распространенным средством защиты являются межсетевые экраны. Средства адаптивного управления безопасностью, такие как системы анализа защищенности и обнаружения атак, пока применяются не столь широко, как того требуют динамично изменяющиеся сетевые технологии.-

Поскольку полное устранение перечисленных угроз принципиально невозможно, то проблема состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на ПС, а также в рациональном распределении ресурсов

для обеспечения создания системы, равнопрочной как в плане качества функционирования, так и информационной безопасности. Для решения этой проблемы В. В. Липаев предлагает в качестве одного из эффективных методов - сертификацию. По его оценке, сертификация, как апробированный механизм целенаправленных испытаний, должна быть в максимальной степени ориентирована на противодействие перечисленным угрозам и нейтрализацию негативных последствий их реализации. При этом, в силу существующей зависимости, обеспечение качества функционирования ИС в условиях потенциальной реализации угроз является определенной гарантией информационной безопасности ИС. По частоте проявления угрозы безопасности распределяются так в порядке убывания: копирование и кража программного обеспечения; несанкционированный ввод данных; модификация или уничтожение данных на магнитных носителях информации; кража (съем) информации;

несанкционированное использование ресурсов в системе; несанкционированный доступ к информации.

Вероятность возникновения угроз может быть существенно снижена: кража магнитных носителей и результатов печати, порча

оборудования - организационными мерами; электромагнитные воздействия и перехват информации в системах - техническими средствами защиты; съем информации по акустическому каналу - защитой от подслушивания; отключение электропитания системы -инженерно-техническими средствами. Оставшиеся виды угроз наиболее опасны, что доказывает необходимость комплексного решения проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.

В данном случае используется подход, когда для защиты от каждого вида угроз должны разрабатываться свои способы, которые должны ориентироваться не на максимальный, а на необходимый уровень защиты. В то же время некоторые ученые и практики считают, что существующий подход к построению систем защиты, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов. Вместе с тем, любой из типов угроз - как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности. Повышение надежности самой системы и устранение данных причин (в идеальном случае) позволит минимизировать возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода, по мнению П. Д. Зегжды, является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью. На наш взгляд, целесообразно использовать преимущества как первого, так и второго подходов.

Основные направления обеспечения безопасности в информационных системах можно определить в зависимости от их уровня и угроз этим системам в соответствии с приведенной классификацией таких угроз, и они предполагают комплексное решение проблемы защиты с применением организационных,

аппаратно-технических, программно-математических и правовых средств защиты.-Совокупность применения таких мер и средств защиты принято называть среди специалистов политикой безопасности. Политика безопасности информационной системы обычно состоит из трех частей: общие принципы (определяют подход к безопасности в системе); правила работы (определяют что разрешено, а что - запрещено; могут дополняться конкретными процедурами и различными руководствами); технические решения (технический анализ, который помогает выполнять принципы и правила

политики). Однако, как в теории, так и на практике подобная политика безопасности, как

правило, не предусматривает правовых средств защиты, упоминая лишь в лучшем случае

об ответственности за компьютерные преступления. Рассмотрим это на некоторых

примерах организации защиты информационных систем разных уровней, а вопросы их

правовой охраны и защиты рассмотрим подробнее в следующих параграфах данной главы.

На уровне персонального компьютера.

Еще недавно самая большая угроза информационной безопасности настольного ПК

исходила от дискет неизвестного происхождения, легко угадываемых паролей и

любопытных коллег по работе. С появлением Интернет возникли новые потенциальные

опасности и угрозы на этом уровне, что предполагает использование и новых технических

и программных средств защиты. К их числу можно отнести-:

персональные комплексы безопасности (персональные комплексы безопасности

отличаются широкой функциональностью: от антивирусных программ до шифраторов

данных и фильтров ActiveX и Java. Например, в инструментальный комплекс Desktop

Security Suite входят антивирусные программы, средства шифрования, персональный

брандмауэр и утилиты резервирования данных);

диспетчеры cookie-файлов (служебных сообщений) - программы, с помощью которых

можно отыскивать и удалять

cookie-файлы, которые могут быть использованы для слежения за деятельностью

пользователя в Сети, что породило опасения относительно возможных нарушений

конфиденциальности;

надежные алгоритмы шифрования - единственный способ, гарантирующий

неприкосновенность электронной почты пользователя (общепринятым стандартом

шифрования электронной почты становится спецификация S/MIME). Так называемые

бреши в защите браузеров дают возможность посторонним лицам просматривать вашу

электронную почту. Например, в первой половине 1997 г. фирма Netscape выпустила

программную заплату для ликвидации бреши, через которую посторонние могли читать

сообщения клиентов службы Netscape Mail, работавших спакетами Navigator 3.0 и

подключенным модулем Бпосклуауефирмы Macromedia.

На уровне локальной, корпоративной сети-.

Обеспечение информационной безопасности корпоративных сетей, (где их эксплуатация

связана с использованием мощных СУБД, работой сотен пользователей и включением в

глобальные сети связи, что облегчает доступ неопределенного круга лиц к ресурсам такой

системы) требует специальной стратегии безопасности, составными частями которой

должны стать разработка совокупности документированных управленческих решений,

оценка рисков и оптимальный выбор защитных средств, составление программы мер по

поддержанию безопасности. К политике безопасности на этом уровне относят:

1) принципы защиты информации в информационных системах:

целостность содержания информации (позволяет получателю убедиться, что содержание

сообщения не модифицировано);

целостность последовательности сообщений (позволяет получателю убедиться в том, что

последовательность сообщений не изменена);

конфиденциальность содержания информации (позволяет отправителю быть уверенным,

что никто не прочитает сообщения, кроме определенного получателя);

аутентификация источника сообщений (отправитель получает возможность

аутентифицироваться у получателя как источник

сообщения, а также у любого устройства передачи сообщений, через которое они

проходят);

доказательство доставки информации (отправитель может убедиться в том, что сообщение

доставлено неискаженным нужному получателю);

доказательство подачи информации (отправитель может убедиться в идентичности

устройства передачи сообщения, на которое оно было подано);

безотказность источника информации (позволяет отправителю доказать получателю, что

переданное сообщение принадлежит ему);

безотказность поступления информации (позволяет отправителю сообщения получить от

устройства передачи сообщения, на которое оно поступило, доказательство того, что

сообщение поступило на это устройство для доставки определенному получателю);

безотказность доставки информации (позволяет отправителю получить от получателя

доказательство получения им сообщения);

управление контролем доступа к информации (позволяет двум компонентам системы

обработки сообщений установить безопасные соединения);

защиту от попыток расширения своих законных полномочий (на доступ, формирование,

распределение и т. д.), а также изменения(без санкции на то) полномочий других

пользователей;

защиту от модификации программного обеспечения путем добавления новых функций.

(Аналогичные принципы должны быть и в отношении защиты самих информационных

систем);

2) управление персоналом (отбор, контроль в процессе деятельности, воспитание сознательного отношения к соблюдению правил безопасности);

3) обеспечение физической защиты информации, в том числе регулярное защищенное резервное ее копирование, протоколирование и аудит всех выполняемых в системе действий, шифрование информации, экранирование кабельных сетей;

4) поддержка работоспособности системы и предупреждение ее вскрытия и проникновения в нее вирусов (резервирование

оборудования, использование проверки подлинности пользователя, использование брандмауэров - устройств и программ, выполняющих функции межсетевых экранов, ограничение использования дисков CD-ROM и гибких дисков, разграничение прав доступа и т. п.);

5. немедленное реагирование на проявление угрозы;

6. опережающее планирование восстановительных работ.

К числу основных направлений обеспечения информационной безопасности в

общегосударственных информационных и телекоммуникационных системах отнесены:

предотвращение перехвата информации из помещений и объектов, а также информации,

передаваемой по каналам связи с помощью технических средств;

исключение несанкционированного доступа к обрабатываемой или хранящейся в

технических средствах информации;

предотвращение утечки обрабатываемой информации за счет побочных электромагнитных

излучений и наводок, создаваемых функционирующими техническими средствами,

преобразований, а также за счет электроакустических преобразований;

предотвращение специальных программно-технических воздействий, вызывающих

разрушение, уничтожение, искажение информации или сбои в работе средств

информатизации;

выявление внедренных на объекты и в технические средства электронных устройств

перехвата информации.

Безусловными недостатками такого подхода являются два момента: 1) то, что

перечисленные направления относятся, в основном, к защите информации,

циркулирующей в информационной системе, и 2) обеспечение защиты здесь предлагается

осуществлять без указания на использование при этом средств и способов правовой охраны

и защиты.

Так, предотвращение перехвата с помощью технических средств информации,

передаваемой по каналам связи, а также исключение несанкционированного доступа к

информации, обрабатываемой или хранящейся в технических средствах, достигаются

путем применения специальных методов и средств защиты, включая криптографические, а

также проведения организационно-технических мероприятий.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается путем применения защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранирования зданий или отдельных помещений, установления контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается с помощью специальных программных и аппаратных средств защиты, организации контроля безопасности программного обеспечения. Выявление внедренных на объекты и в технические средства электронных устройств перехвата информации осуществляется в ходе специальных обследований помещений (объектов) и специальных проверок технических средств.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, реализацией проектных решений, обеспечивающими звукоизоляцию помещений, выявлением и нейтрализацией специальных средств съема информации и другими организационными и режимными мероприятиями.

- Маркоменко В. И. Защита информации в информационно-телекоммуникационных системах органов государственной власти. Системы безопасности. 1996 № 6.

• Концепция Центробанка России обеспечения защиты информации кредитно-финансового учреждения. М., 1996.; Левкин В. В. и др. Оценка экономической эффективности системы защиты от несакционированного доступа СНЕГ. Безопасность информационных технологий. 1996. № 3. С. 90-101; Стене Д., Мун С. Секреты безопасности сетей. Киев. 1996; Романов М. Ю., Скородумов Б. И. Безопасность информации в автоматизированных системах банковских расчетов. М., 1998. С. 45-70.

• Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды. М., 1996.

- Лукацкий А. В., руководитель отдела Internet-решений НИП "Информзащита". Информационная безопасность в фактах и цифрах. М., 1998.

• Галатенко В. А. Информационная безопасность: практический подход. - Под редакцией члена-корреспондентаРАНВ. Б. Бетелина. М., 1998.

• Скот Финни. Информационная безопасность настольных ПК. PC Magazine. 1997. №9. С. 149.

• Материалы семинара "Безопасность в информационных системах". 27-29 мая 1996 г. "Банковские технологии". 1996. № 7.

15.2. Охрана прав на информационные системы

Следует различать правовую охрану и защиту права на информацию в информационных

системах и защиту прав в отношении самих информационных систем. Целями правовой

охраны и защиты в данном случае являются:

предотвращение несанкционированных действий по уничтожению, модификации,

искажению, копированию, блокированию информации, находящейся в информационной

системе;

предотвращение других форм незаконного вмешательства в информационные системы;

защита конституционных прав граждан на сохранение личной тайны и

конфиденциальности персональных данных, имеющихся в информационных системах;

обеспечение прав субъектов при разработке, производстве и

применении информационных систем

Охрана права собственника (владельца) на информационную систему возникает с момента

ее создания (приобретения) на законном основании и действует в объеме и порядке,

предусмотренном Гражданским кодексом Российской Федерации (раздел II), что

подтверждено Федеральным законом "Об участии в международном информационном обмене", в котором указано, что информационные системы используются только по волеизъявлению их собственника или уполномоченного им лица (ст. 9), а доступ физических и юридических лиц к этим системам осуществляется по правилам, установленным собственником или владельцем этих систем в соответствии с законодательством Российской Федерации (ст. 12). В то же время такая правовая охрана в каждом конкретном случае будет иметь свою специфику в зависимости от вида информационных систем: открытые (для общего пользования) или закрытые (для ограниченного круга пользователей); государственные или негосударственные; национальные или международные и т. д. На основе анализа действующего законодательства можно выделить основные права и обязанности собственника информационной системы.

Собственник (владелец) информационной системы имеет в отношении этой системы следующие права:

1) включать в состав своего имущества и использовать информационную систему в качестве товара (продукции) по своему усмотрению при соблюдении исключительных прав ее разработчиков, в том числе - отчуждать в собственность другим лицам; передавать им, оставаясь собственником, права владения, пользования, распоряжения и доверительного управления информационной системой; отдавать в залог; свободно распоряжаться иным образом и обременять другими способами;-

2) самостоятельно определять условия использования системы, в том числе устанавливать порядок предоставления пользователю

информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур доступа к информационной системе;

3) устанавливать необходимые ограничения для пользователей, включая обслуживающий персонал, в интересах обеспечения информационной безопасности системы и требовать их выполнения в соответствии с действующим законодательством;

4. разрешать (прекращать) доступ пользователей к информационной системе на договорной основе, при этом доступ к сетям связи осуществляется в соответствии с Федеральным законом "О связи";

5. обращаться в организации, осуществляющие сертификацию средств защиты информационных систем, для проведения анализа достаточности мер защиты его систем и получения консультаций;

6. требовать от организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных в информационных системах лицензии на этот вид деятельности;

7) требовать от третьих лиц воздерживаться от незаконного доступа к информационным системам и привлечения лиц, виновных в нарушении его прав и законных интересов, к гражданско-правовой, административной или уголовной ответственности.

При реализации своих прав собственник (владелец) информационной системы обязан:

1) обеспечить открытость установленных им правил доступа и возможность ознакомления с ними пользователя;

2. обеспечить условия доступа пользователей к информации в соответствии с федеральными законами и установленным им порядком;

3. обеспечить необходимый уровень защиты информации, циркулирующей в информационной системе, в соответствии с законодательством Российской Федерации;

4) защищать права автора информационной системы в соответствии с законодательством Российской Федерации;

5) проводить сертификацию информационных систем, предназначенных для информационного обслуживания граждан и организаций в порядке, установленном

Законом Российской Федерации "О сертификации продукции и услуг". При этом информационные системы органов государственной власти

Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации в соответствии с законодательством Российской Федерации. Сертификация сетей связи производится в порядке, определяемом Федеральным законом "О связи". Выдача сертификатов и лицензий возложена законом на Гостехкомиссию России и ФАПСИ;-

6) осуществлять включение информационных систем в состав средств международного обмена только при наличии международного кода в порядке, устанавливаемом Правительством Российской Федерации, а в отношении систем с особыми правилами доступа к информации - с разрешения Гостехкомиссии России при Президенте Российской Федерации и ФАПСИ;

7. обеспечивать условия для осуществления контроля за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, со стороны органов государственной власти, а также со стороны собственника информационных ресурсов или уполномоченных им лиц в отношении защиты информации, находящейся в информационной системе;

8. оповещать собственника информационных ресурсов и (или)информационных систем о всех фактах нарушения режима защиты информации. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации своевременно сообщить об этом в органы контроля - государственные органы исполнительной

власти за осуществлением международного информационного обмена и собственнику (владельцу) взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб.

Как видно из приведенного перечня прав и обязанностей субъектов правоотношений в данной области охрана прав субъектов сведена, в основном, к охране прав и интересов собственников и владельцев информационных систем, но не их пользователей. Вместе с тем государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан. В действующем законодательстве не нашли надлежащего закрепления отношения, связанные с обязанностями субъектов по созданию надежных и безопасных информационных систем, по их качественной и безопасной эксплуатации, обеспечению информационной безопасности, как для систем, так и для пользователей; а также правоотношения, устанавливающие ответственность собственников (владельцев) за создание, функционирование и эксплуатацию информационных систем, не удовлетворяющих стандартам и требованиям безопасности. В результате, например, конституционное право граждан на тайну телефонных переговоров, установленное п. 2 ст. 23 Конституции Российской Федерации, реализовать сегодня крайне трудно.-

Все виды производства информационных систем составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации. В соответствии со ст. 3. Федерального закона "Об информации, информатизации и защите информации" государственная политика в сфере информатизации применительно к информационным системам должна быть направлена на создание условий для эффективного и качественного

информационного обеспечения решения стратегических и оперативных задач социального

и экономического развития Российской Федерации и включает в себя следующие основные

направления:

создание и развитие федеральных и региональных информационных систем и сетей,

обеспечение их совместимости и взаимодействия в едином информационном пространстве

Российской Федерации;

обеспечение национальной безопасности в сфере информатизации, а также обеспечение

реализации прав граждан, организаций в условиях информатизации;

содействие формированию рынка информационных услуг и информационных систем;

формирование и осуществление единой научно-технической и промышленной политики в

сфере информатизации с учетом современного мирового уровня развития

информационных технологий;

поддержка проектов и программ информатизации;

создание и совершенствование системы привлечения инвестиций и механизма

стимулирования разработки и реализации проектов информатизации;

развитие законодательства в сфере информатизации и защиты информации.

Кроме того, на этапе разработки и производства информационных систем, в соответствии

со ст. 16 Закона, государство создает условия для проведения научно-исследовательских и

опытно-конструкторских работ в области разработки и производства информационных

систем.

Правительство Российской Федерации определяет приоритетные направления развития

информатизации и устанавливает порядок их финансирования, при этом разработка и

эксплуатация федеральных информационных систем финансируются из средств

федерального бюджета по статье расходов "Информатика" ("Информационное

обеспечение"-;

органы государственной статистики устанавливают правила учета и анализа состояния

отрасли экономической деятельности, развитие которой определяется государственной

научно-технической и промышленной политикой информатизации.

К недостаткам данного перечня обязанностей государства в этой области следует, на наш

взгляд, отнести то обстоятельство, что не всегда провозглашенные здесь права субъектов

правоотношений дополняются обязанностями государства по их обеспечению. Так,

например, в соответствии со ст. 16 Федерального закона "Об информации,

информатизации и защите информации" провозглашено равенство прав государственных,

негосударственных организаций и граждан на разработку и производство информационных

систем. Однако, отсутствие в законе прямого указания на обязанности государственных

органов обеспечивать равенство этих прав субъектов приводит к тому, что на практике это

равенство реализовать крайне затруднительно.

Особого порядка охраны прав и законных интересов личности, общества и государства

требует угроза применения информационного оружия, в том числе деструктивного

информационного воздействия при международном информационном обмене. В ст. 4

Федерального закона "Об участии в международном информационном обмене"

устанавливаются обязанности государства в сфере международного информационного

обмена, в соответствии с которыми, применительно к информационным системам, органы

государственной власти Российской Федерации и органы государственной власти

субъектов Российской Федерации:

создают условия для обеспечения Российской Федерации, субъектов Российской

Федерации, муниципальных образований,

физических и юридических лиц Российской Федерации иностранными информационными

услугами;

содействуют внедрению современных информационных технологий, обеспечивающих

эффективное участие Российской Федерации, субъектов Российской Федерации,

муниципальных образований, физических и юридических лиц Российской Федерации в международном информационном обмене;

обеспечивают защиту российских информационных систем, участвующих в международном информационном обмене и соблюдение правового режима информации; стимулируют расширение взаимовыгодного международного информационного обмена документированной информацией и охраняют законные интересы Российской Федерации, субъектов Российской Федерации, муниципальных образований, физических и юридических лиц в Российской Федерации;

создают условия для защиты отечественных собственников и владельцев информационных систем при международном информационном обмене, пользователей от некачественной и недостоверной иностранной информации, недобросовестной конкуренции со стороны физических и юридических лиц иностранных государств в информационной сфере. Кроме того, в этом законе предусмотрено, что:

• включение информационных систем в состав средств международного обмена осуществляется при наличии международного кода в порядке, устанавливаемом Правительством РФ, а в отношении систем с особыми правилами доступа к информации - с разрешения Гостехкомиссии РФ и ФАПСИ (ст. 10);

• средства международного информационного обмена для обработки информации с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации в порядке, определяемом Федеральным законом РФ "О связи" (ст. 17);

• деятельность при вывозе (ввозе) информации государственных информационных ресурсов подлежит лицензированию (ст. 18);при этом выдача сертификатов и лицензий возложена законом на Гостехкомиссию и ФАПСИ (ст. 9);

- при обнаружении нештатных режимов функционирования информационных систем, т.е. возникновении ошибочных команд, а

также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля за осуществлением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб (ст. 9);

- в случае противоправных действий органы исполнительной власти (РФ и субъектов РФ), осуществляющие контроль за международным информационным обменом, могут приостановить его на любой стадии до 2 месяцев, что может быть обжаловано в суде (ст. 16, 19).

Основными направлениями международного сотрудничества Российской Федерации в

области обеспечения информационной безопасности в соответствии с Доктриной

информационной безопасности РФ являются:

запрещение разработки, распространения и применения "информационного оружия"-;

обеспечение безопасности международного информационного обмена, в том числе

сохранности информации при ее передаче по национальным телекоммуникационным

каналам и каналам связи;

координация деятельности правоохранительных органов стран, входящих в мировое

сообщество, по предотвращению компьютерных преступлений;

предотвращение несанкционированного доступа к конфиденциальной информации в

международных банковских телекоммуникационных сетях и системах информационного

обеспечения мировой торговли, к информации международных правоохранительных

организаций, ведущих борьбу с транснациональной организованной преступностью,

международным терроризмом, распространением наркотиков и психотропных веществ,

незаконной торговлей оружием и расщепляющимися материалами, а также торговлей

людьми.

При этом необходимо определить перечень информационных систем, где государство должно нести стопроцентную ответственность за их охрану и защиту (системы управления федеральных органов государственной власти, управления войсками и оружием, обеспечения банковской и финансовой стабильности и т. п.), критерии безопасности таких систем. Примером такой закрытой, со стопроцентным участием государства информационной системы может стать создаваемая в соответствии с Указом Президента Российской Федерации от 3 апреля 1995 г. № 334 информационно-телекоммуникационная система специального назначения в интересах органов государственной власти (ИТКС). В соответствии с Концепцией создания и развития ИТКС, в качестве телекоммуникационной компоненты ИТКС будет использована создаваемая в настоящее время интегрированная государственная система конфиденциальной связи России, ядром которой является высокопроизводительная защищенная сеть передачи данных с пакетной коммутацией "Атлас", что позволяет предоставить абонентам полный набор информационных услуг при обеспечении гарантированной безопасности и конфиденциальности передаваемой, хранимой и обрабатываемой информации. Создана инфраструктура лицензированных Федеральным агентством предприятий, организаций и фирм, активно работающих над решением задач обеспечения комплексной безопасности в информационно-телекоммуникационных системах. Аккредитованы испытательные центры. Утверждена и зарегистрирована в Госстандарте "Система сертификации средств криптографической защиты информации". Действуют сертификационные центры (лаборатории), которые оснащены необходимыми методическими и руководящими материалами. Сертифицированы различные типы шифровальных средств, предназначенных для защиты, как конфиденциальной информации, так и коммерческой тайны.

Одновременно с этим государство должно определить степень своего участия в законодательном регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых информационных систем и обеспечения информационной безопасности в них, прежде всего в интересах защиты прав пользователей таких систем.

Требуется унификация законодательства, так как киберпространство не признает национальных границ. Нужны единые

подходы в борьбе с компьютерными преступлениями. Предпосылки для такой единой правовой политики создаются в странах Европейского Союза, Совета Европы и СНГ. Сети международного информационного обмена резко расширяют возможности использования информационного оружия, добиться полного запрещения которого вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно. В 1996 г. автор выступил с инициативой, которая была поддержана комитетами Государственной Думы РФ и в декабре 1997 г. превратилась в политическую инициативу девяти государств - участников СНГ. Межпарламентская Ассамблея стран СНГ приняла обращение к ООН, ОБСЕ, странам Межпарламентского Союза с предложением включить в повестку дня Генеральной Ассамблеи ООН вопрос о подготовке и заключении международной конвенции о предотвращении информационных войн и ограничении оборота информационного оружия. Это необходимо для того, чтобы мы не тратили средства сначала на разработку информационного оружия, затем на защиту от него, а потом на его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием.

- Отношения, связанные с правом собственности на российские информационные системы международного информационного обмена, регулируются гражданским законодательством Российской Федерации. Отношения, связанные с правом собственности, возникающие в результате оказания или получения информационной услуги, определяются договором между собственником или владельцем информационных продуктов и пользователем.

Оказание информационной услуги не создает для пользователя право авторства на полученную документированную информацию.

- Риск, связанный с использованием несертифицированных информационных систем лежит на собственнике (владельце) этих систем. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

- Примером этому может служить нынешняя ситуация, когда банки, предприятия и организации устанавливают у себя импортное оборудование цифровых АТС со встроенным блоком полицейских функций, позволяющим вести запись в автоматическом режиме всех телефонных переговоров. Это, по мнению собственников таких систем, позволяет им защитить более надежно свои права на коммерческую, банковскую, служебную тайну, но с точки зрения закона это грубо нарушает конституционные права граждан на тайну переговоров, в том числе тех, кто не является работником данной организации. Другим примером неблагополучия в этой области может служить ситуация с цифровыми телефонными станциями общего пользования, ответственность за которые несет Госкомсвязи России. За пять лет число цифровых телефонных станций возросло с 2 до 80, а цифровых каналов - до 70 тыс. В этом импортном оборудовании не исключены закладки обратной связи, позволяющие бесконтрольно снимать информацию в любое удобное для поставщиков время без ведома российских пользователей. А это уже не только нарушение конституционных прав граждан на тайну переговоров, но и прямая угроза для безопасности всей страны. При пользовании мобильными телефонами, пейджинговой связью наиболее распространенной угрозой для пользователей является возможность несанкционированного съема информации при сканировании информационного пространства портативными модулями на базе компьютеров, которые имеют у себя многие граждане и организации, в том числе с преступными целями.

• Лопатин В. Н. 1) На спутниковую связь не хватает денег // Независимая газета. 1997. 13 ноября; 2) Используем наше отставание как благо (о развитии компьютерных сетей)//Журнал "Компьютерра". 1997.№ 12. С.34-39.

• Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. СПб., 2000. С. 97-105.

15.3. Особенности правового регулирования отношений в Интернет

Отдельного рассмотрения требует система Интернет, которая относится к открытым

международным негосударственным информационным системам, имеет свою историю,

особенности обеспечения безопасности в настоящем и особую роль в будущем. История

появления и развития Интернет на первом ее этапе тесно связана с интересами обеспечения

национальной безопасности.-

Хотя, официальный запрет на участие государств СНГ в глобальной сети Интернет был

снят лишь в 1993-1994 годах, интернет-технологии использовались в нашей стране еще до

этого момента. В 1983 г. в Европе организовалась академическая научная сеть,

которая была сделана не на протоколах Интернет, а на протоколах, разработанных IBM. В

1990 г. узел этой Международной европейской сети был открыт в России - будущая

отечественная сеть "Фринет" и начал свою деятельность "РЕЛКОМ".

В России Интернет сегодня- - это уже около 330 организаций - провайдеров, которые

обеспечивают подключение к сети более 1 500 000 (в 1998 г. - 0,9 - 1 млн. пользователей)

индивидуальных и корпоративных пользователей, которые получают доступ к 2500

российским серверам. По сведениям, полученным в результате мониторинга

информационного наполнения российской части сети, который осуществляется

Центральным экономико-математическим институтом (ЦЭМИ) совместно с РОЦИТ, не

менее 1000 таких узлов являются активными, постоянно обновляют свою информацию,

ведут некоторые станционные услуги, осуществляют обмен информацией друг с другом и с

пользователями Интернет. Для сравнения в США количество подобных узлов колеблется от 270 до 350 тыс. По числу человек, приходящихся на один уникальный информационный ресурс или адрес сети на первом месте - Финляндия - 18 человек, в Норвегии - 35, в Швейцарии - 69, в Великобритании - 101, в США - 70, в России - 3 тыс. человек.-Интернет - это уникальная совокупность локальных, региональных и национальных компьютерных сетей и универсальная технология обмена данными, где отсутствует централизованная система управления (роль координатора играет Общество участников Интернет (ISOC) - общественная организация, базирующаяся на взносах участников и пожертвованиях спонсоров).-

Интернет - это система, которая стала в последнее время средством информационного общения многих миллионов людей во многих странах мира;

не признает национальных границ, что делает эту систему качественно новым явлением в мировом сообществе;

является редким по своим возможностям средством доступа к информации по всему многообразию человеческой деятельности и интересов;

становится мощным инструментом познания мира, обучения, доступа к профессиональным знаниям;

являясь новым средством массового распространения информации, становится трибуной политических высказываний и политической агитации;

становится объектом разработки и применения новейших программных и инструментальных технологий, что делает ее сферой бурного развития в будущем. Наряду с подключением информационных систем к глобальным информационным системам (в том числе - Интернет) и использованием их возможностей происходит активное

использование интернет-технологий при построении других информационных систем, так называемой Интранет. Полномасштабная Интранет - это способ использования стандартных технологий Интернет для построения полнофункциональной, всеобъемлющей информационной среды для совместного использования информации, для коммуникаций и приложений, построенных на основе открытых сетевых технологий и открытой платформы приложений, опирающейся на сеть. Появление систем Интранет знаменует собой процесс вытеснения решений, основанных на закрытых технологиях (решениях, разработанных одной фирмой для одного приложения) и появления жестких требований к новым приложениям или даже к изменению существующих с тем, чтобы они работали на основе открытых стандартов.-

Приведем лишь часть открытых стандартов, которые сегодня фактически стали стандартами информационных систем: управление сетевыми устройствами (SNMP); электронная почта (SMTP, IMAP, MIME); телеконференции (NNTP); информационный сервис (HTTP, HTML); справочная служба (LDAP); программирование (Java). В настоящий момент в Интранет разработаны открытые стандарты, позволяющие строить на их основе большинство видов приложений, которые достаточно мощны, чтобы успешно конкурировать с закрытыми системами класса Lotus Notes и Microsoft Back Office. Сервисы, предоставляемые Интранет образуют вместе целостную сетевую инфраструктуру, в которой различают два вида сервисов - пользовательские и сетевые. Среди пользовательских сервисов выделяются четыре основных типа: создание и публикация документов; координация работ и взаимодействие пользователей информационной системы - системы электронной почты и средства коллективной работы (groupware); навигация (быстрый поиск и доступ к информации); доступ к приложениям. К сетевым сервисам относятся: справочники - управление информацией о людях и ресурсах (единая справочная служба); репликация - прозрачное распространение данных по сети; безопасность; управление. Приложения, в свою очередь, делятся на три группы: базовые, предоставляемые Интранет в качестве стандартных средств: электронная почта, средства коллективной работы, телеконференции, компьютерная телефония, хранение и совместное

использование информации, навигация и поиск, справочники; приложения, поставляемые независимыми производителями программного обеспечения; приложения, разрабатываемые специально для нужд каждой организации: базы и хранилища данных, исследования, проекты, продажи и маркетинг, кадровые и финансовые приложения, взаимодействие с партнерами и поставщиками.

К основным тенденциям развития систем Интранет можно отнести: интеллектуальный сетевой поиск; высокая интерактивность навигаторов за счет применения Java-технологии; сетевые компьютеры; превращение интерфейса навигатора в универсальный интерфейс с компьютером, когда "вытесняется" пользовательский интерфейс операционных систем. После создания системы Интернет на бюджетные средства при активном содействии со стороны государственных органов на начальном этапе, общественного саморегулирования

- на этапе становления сегодня назрела необходимость государственного участия в дальнейшем развитии и функционировании этой системы в силу, как ее огромных возможностей, так и наличия больших проблем, которые общество решить само не в состоянии.

Как свидетельствует обсуждение вопроса о степени и необходимости государственного регулирования процессов в электронном сообществе здесь существуют различные точки зрения: от полного саморегулирования Интернет как "международной общественной организации" до совместного участия государства и общественных организаций, которые сегодня регулируют эту деятельность в России, в решении проблем обеспечения безопасности. При этом владелец сети обязан обеспечить безопасность системы управления сетью, а пользователь сети имеет право воспользоваться услугами по защите своей собственной информации. На наш взгляд, должно быть совместное государственно-общественное регулирование процессов развития и дальнейшего успешного и безопасного функционирования Интернет.

Практика зарубежных стран показывает, что использование государственными органами новых сетевых технологий оказывает огромное положительное влияние на взаимоотношение общества и

государства. Появление электронных представительств и возможности обратной связи у органов государственной власти облегчает доступ к законодательно-нормативной информации, облегчает участие граждан в процессе управления государством как на стадии принятия решений, так и на стадии их реализации; повышает доверие граждан к органам власти и уменьшает дистанцию между органами власти и гражданами. Примером этому может служить ситуация в Амстердаме (Голландия), где принята концепция цифрового города, согласно которой вся информация муниципалитета обязательно полностью публикуется через Интернет. Государственные чиновники обязаны реагировать на обращения, поступающие по Интернет, как если бы они общались ежедневно с просителями. Аналогичные программы сейчас приняты во всех скандинавских странах. Правительство Российской Федерации приняло лишь одно решение в отношении Интернет

- о подключении 32 региональных университетов России к сети Интернет. Наряду с этим, Президент РФ, Парламент и Правительство России, большинство федеральных органов исполнительной власти и органов государственной власти в субъектах РФ также имеют свои электронные представительства в глобальной сети, где выставляются как принятые нормативные акты, так и их проекты.

В то же время при феноменальном успехе Интернета и использовании таких технологий многократно увеличились и опасности для таких информационных систем- . Среди причин и условий, порождающих такую ситуацию можно условно выделить несколько групп: технологические, социально-экономические и организационно - правовые. А. К технологическим условиям можно отнести-:

уязвимость сервисов TCP/IP - ряд сервисов TCP/IP являются небезопасными и могут быть скомпрометированы злоумышленниками; сервисы, использующиеся в локальных сетях для улучшения управления сетью особенно уязвимы;

легкость наблюдения за каналами и маскировки под других(маскарада) - большинство

трафика Интернета незашифровано; электронная почта, пароли и передаваемые файлы

могут быть перехвачены, используя легкодоступные программы, затем злоумышленники

могут использовать пароли для проникновения всистемы;

отсутствие политики безопасности - многие сети могут быть сконфигурированы по

незнанию таким образом, что будут позволять доступ к ним со стороны Интернета, не

подозревая при этом о возможных злоупотреблениях этим; многие сети допускают

использование большего числа сервисов ТСРЯР, чем это требуется для деятельности их

организации, и не пытаются ограничить доступ к информации об их компьютерах, которая

может помочь злоумышленникам проникнуть в сеть;

сложность конфигурирования - средства управления доступом в хостах зачастую являются

сложными в настройке и контроле за ними; неправильно сконфигурированные средства

часто приводят к неавторизованному доступу.

К этим причинам, имеющим достаточно общий характер во всех странах, следует отнести

также и ряд особенных условий в этой области, присущих для России:

недостаточная пропускная способность и низкая надежность линий связи и

коммуникационного оборудования;

низкий уровень телефонизации России;

использование в преимущественно англоязычной Интернет русского и других

национальных языков нашей страны.

Б. К социально-экономическим условиям, порождающим низкий уровень обеспечения

информационной безопасности при пользовании Интернет в России, можно отнести:

чрезвычайно низкий уровень информационной культуры населения страны и наряду с этим

высокий уровень квалификации отечественных компьютерных мошенников,

осуществляющих многочисленные попытки противоправного вмешательства в работу

национальных и международных сетей;

отсутствие у населения финансовых средств для приобретения компьютера и подключения

к сети (в настоящее время стоимость компьютера почти в 10 раз превышает уровень

среднемесячной

заработной платы, а стоимость подключения и доступа - до $ 100 в месяц, в зависимости от

объема работы, для сравнения: в США - около $20 в месяц, независимо от объема работы);

отсутствие у государства возможности создать магистральные телекоммуникации за счет

собственных средств. Привлечение для этих целей иностранных инвестиций, с одной

стороны, позволяет развивать сетевую инфраструктуру, а с другой стороны, ставит Россию

в зависимость от владельца этой сети.

Достаточно быстро мировое сообщество отреагировало на проблему компьютерной

безопасности созданием специальных структур, научно-исследовательских центров,

коммерческих организаций, которые занимаются предоставлением услуг по защите,

занимаются научными разработками по защите. Но развитие структур, отвечающих за

безопасность в России, не поспевает за развитием Интернет.

К сожалению, несмотря на экономическую рентабельность развития Интернет в России,

сейчас вопросам компьютерной безопасности уделяют минимальное внимание даже

сервис-провайдеры. При проектировании и развитии инфраструктуры сети в лучшем

случае принимаются во внимание только те аспекты компьютерной безопасности, которые

не требуют дополнительного финансирования. Во многих государственных и

негосударственных организациях осуществляется подключение к Интернет всей сети, а не

конкретного компьютера, так как выделение двух сетей: одной - закрытой для организации,

другой - для подключения к Интернет, связано с большими материальными затратами.

В. К организационно-правовым условиям недостаточного уровня обеспечения

информационной безопасности можно отнести следующие:

отставание традиционного информационного законодательства развитых стран от

серьезных изменений в общественных отношениях при вхождении в единое

информационное пространство;

трансграничные сети, в том числе и Интернет, не признают географические и

геополитические границы, в связи с чем происходит столкновение национальных

законодательств в новом телекоммуникационном безграничном пространстве;

телекоммуникации создают новые возможности не только для труда и отдыха

(телемедицина, телеобразование,

телевоспитание, телеотдых), но и для совершения правонарушений, как традиционных так

и для новых видов преступности - компьютерные преступления:

• нарушение прав интеллектуальной собственности;

• проникновение в системы управления;

• распространение информации, оказывающей негативное влияние на социальное здоровье общества, в том числе бесконтрольное распространение оскорбительных и непристойных материалов в сетях Интернет и доступ к ним детей;

• распространение недобросовестной рекламы;

проведение мошеннических коммерческих операций и построения по типу пирамидальных мошеннических структур;

- несанкционированный доступ к конфиденциальной информации юридических лиц и органов власти;

- нарушение прав и законных интересов личности в процессе информационного обмена. Наряду с общими для мирового сообщества проблемами, в России имеются и специфические:

правовой нигилизм и отсутствие однозначно установленного правового статуса различных информационных объектов, в силу чего происходит бесконтрольное их использование; в области обеспечения информационной безопасности в России крайне остро стоит кадровая проблема: отсутствие достаточного числа подготовленных специалистов по этим вопросам как в органах исполнительной власти, правоохранительных органов, таки среди судей, адвокатов; достаточного количества специалистов, занимающихся разработкой новых технологий в области программирования и оборудования, обеспечивающих защиту информации (при этом, по оценкам Гостехкомиссии при Президенте РФ, в случае сохранения общей ситуации с обеспечением информационной безопасности в России в 2000 г. потери составят до $2000 на один хост, что примерно равно стоимости оборудования хоста);

крайне неразвитая нормативно-правовая база по этим вопросам, как на федеральном, так и, по свидетельству начальника группы компьютерной безопасности Института космических исследований РАН СВ. Полунина, на первичном уровне, где "отсутствует нормативная или методическая документация по организации системы безопасности внутри предприятия. Если коммерческие организации имеют какие-то средства на разработку или внедрение иностранного опыта, то государственные, научные и академические организации таких возможностей не имеют".

Хотя, Интернет - это система, где отсутствует централизованная система управления, в то же время каждое государство создает свои правовые и организационные механизмы регулирования использования Интернет. Понимая преимущества и отрицательные последствия по вхождению в информационное общество, стержнем которого являются трансграничные телекоммуникационные сети, и в том числе Интернет, практически каждая из стран сегодня подготовила и реализует свою программу.

Отсутствие в кибернетическом пространстве территориальных границ побуждает к объединению усилий законодателей различных стран с целью унификации национальных законодательств и разработки международных соглашений, определяющих правила функционирования Интернет как единой интернациональной сети, разработки Кодекса отношений в новой электронной реальности, в том числе по защите неприкосновенности

частной жизни, защите прав интеллектуальной собственности, обеспечению органами власти прав граждан на доступ к информации, создаваемой на деньги налогоплательщиков, и другие. Практически все проблемы, связанные с феноменом Интернет, могут быть успешно решены только в результате объединения усилий мирового сообщества. Координационный Центр расследования происшествий с компьютерной безопасностью (CERT/CC), который ведет некоторую статистику о числе инцидентов, расследованных им после его создания в 1988 г., считает, что Интернет очень уязвим к атакам. Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. На уровень риска могут повлиять следующие факторы: число систем в сети; какие службы используются в сети; способ соединения сети с Интернетом; профиль сети и степень ее известности; степень готовности организации к улаживанию инцидентов с компьютерной безопасностью. Чем больше систем в сети, тем труднее контролировать их безопасность, так же как, если сеть соединена с

Интернетом в нескольких местах, то она будет более уязвима, чем сеть с одним шлюзом. По мнению ряда авторов, Интернет и информационная безопасность несовместны по самой природе Интернет. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов ТСРЛР и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, военные и т. д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования. Платой за пользование Интернет является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию интранет, ставят фильтры (fire-wall) между внутренней сетью и Интернет, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола ТСРЛР и доступ в Интернет через шлюзы.-

Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения. Для решения этих и других вопросов при переходе к новой архитектуре Интернет предлагают:

ликвидировать физическую связь между будущей Интернет (которая превратится во Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web;

заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров

Ethernet, при котором процесс коммутации сводится к простой операции сравнения МАС-адресов;

перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (МАС-уровень), привязанное к географическому расположению сети, и позволяющее создать адреса в рамках 48-бит.

В качестве разновидности такого шлюза при доступе в Интернет предлагается использовать брандмауэры. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации

вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервисы. В зависимости от необходимой степени безопасности выделяют три разновидности подключения информационных систем к Интернет.

Первый пример - для организаций, которые решили не ограничивать свое взаимодействие с Интернетом, целесообразно выделить наиболее важные данные и обрабатывать их отдельно.

Второй пример (типовой) - внутренние и внешние системы разделяются с помощью брандмауэра (обычно используется шлюз, присоединенный к двум сетям или хост-бастион), когда большинство интернетовских служб доступны внутренним пользователям, а с помощью криптографии создаются виртуальные частные сети или туннели в Интернете. Третий пример - для организаций с высокими требованиями безопасности рекомендуется иметь свой информационный узел в Интернете, который не соединен с внутренними информационными системами.

Дальнейшее развитие Интернет в России сдерживается не только состоянием технической базы, но и отсутствием государственной политики, определяющей роль, место и формы участия органов государственной власти в Интернет. Стремительное развитие Интернет опережает процесс создания и совершенствования

соответствующей нормативно-правовой базы. Анализ отечественного законодательства показывает, что в этой области пока не обеспечивается эффективное регулирование. В этих целях необходимы следующие меры:

1) принять законодательные меры поддержки развития национальных сетей связи, в первую очередь широкополосных, высокоскоростных и спутниковых каналов, обеспечивающих современный технологический уровень передачи информации; отечественных сервис-провайдеров и производителей коммуникационного оборудования для обеспечения национальных интересов при использовании Интернет в России;

2) разработать модельный Кодекс поведения в Интернет;

3) всемерно поддерживать инициативы, направленные на создание программных и технических средств, позволяющих осуществлять доступ в Интернет, а также блокирование или сокрытие оскорбительных и непристойных материалов в сетях Интернет;

4) ускорить разработку федеральной программы обеспечения информационной безопасности компьютерных сетей, включая развитие системы подготовки и переподготовки кадров;

5) создать систему подготовки судей (в том числе и арбитражных судов) по проблемам нарушений прав интеллектуальной собственности и компьютерных преступлений, а также подготовки специалистов по расследованию компьютерных преступлений для МВД, ФСБ и Прокуратуры РФ и специалистов по информационной безопасности;

6. определить функции государственных органов по регулированию использования Интернет, имея в виду разделение функций разработки и эксплуатации информационных систем и функций контроля за состоянием этих систем, а также расследования нарушений в этой сфере;

7. создать негосударственный центр (или систему центров) для проведения научных исследований в области разработки средств защиты информации и сертификации этих средств, с функциями аналитического мониторинга этой области знаний, информирования пользователей всех уровней об угрозах, мерах противодействия и

оперативной помощи в случаях нарушения информационной безопасности;

8) привлекать внебюджетные источники инвестиций, включая иностранные, обеспечивая при этом национальную независимость российского телекоммуникационного пространства;

9. создать Российский центр по распределению адресного пространства в целях оптимизации развития сетевой инфраструктуры и оптимизации использования сетей, а также для обеспечения контроля адресного пространства Интернет в России;

10. активизировать российское участие в подготовке международных актов (особенно в рамках ЕС и СНГ) о развитии общедоступных компьютерных сетей, подготовку и принятие единых правил их использования, а также инициировать со стороны России разработку двусторонних межгосударственных соглашений в этой области.

- Беляев С. Т. - директор Института общеядерной физики в РНЦ "Курчатовский институт", академик Российской академии наук. Из выступления на парламентских слушаниях в Государственной Думе РФ. Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.

-Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.; Волчинская Е. К., Терещенко Л., Якушев М. Интернет и гласность. М., 1999. С. 14-15.

-Сегодня в мире накоплено более 54 млн гипертекстовых документов. Эта информация, в первую очередь, относится к бизнесу, экономике, культуре, развлечениям. Мы отстаем по количеству информации, размещаемой в сети, от североамериканских штатов более чем в 100 раз, а по числу пользователей в 50 раз. В настоящее время наиболее популярной частью Интернет является то, что называют Всемирной информационной паутиной (World-Wide Web). По сведениям американских экспертов, ежегодно Всемирная информационная паутина растет чуть менее чем в два раза. Рост в США составляет 100%, в России - 200-300%. По оценкам экспертов из Релкома, Роцита, Демоса, "Russia on line" и академических сетей, услугами разнообразных видов электронной почты в нашей стране пользуются более миллиона человек. Ежегодно число пользователей электронной почтой увеличивается примерно в два раза. Их количество возрастает ежегодно в 2 раза (без учета тех пользователей, которые получают доступ к Всемирной информационной паутине со своих рабочих мест из корпоративных сетей).

• В Интернет различают три уровня. Первый уровень (чисто технический, сетевой) - это глобальное объединение десятков тысяч различных компьютерных коммуникационных сетей с более 6 млн компьютеров совершенно разного статуса, но на основе единых протоколов и единой системы адресации. На этом уровне возможности Интернет используют и закрытые системы (ведомственные, государственные, фирменные, профессиональные и так далее), которые между собой связь ведут по тем же самым каналам, сервисным сетевым программам. Второй уровень (сервисный) - программные средства, обеспечивающие различный сетевой сервис. Это и обслуживание, и возможности передавать почту, и передача данных, и режим удаленного терминала, и поиск банка данных, и всемирная паутина, которая принесла возможность использования гипертекста, средства мультимедиа. Благодаря этому уровню объединения все появляющиеся новые программные сервисные продукты становятся достоянием всей Интернет. Третий уровень (информационный) - это информация разного типа, разного значения, которая циркулирует в сети (конференции, передача новостей, банки данных, биржевые, торговые, банковские операции, информационные агентства, электронные научные журналы, которые сегодня уже функционируют, путеводители по Интернет и так далее). Хотя, следуя технократическому подходу, информация по-прежнему включена здесь в состав собственно информационной системы, но с позиций права, изложенных выше, мы будем в дальнейшем рассматривать Интернет как информационную систему, состоящую только из первых двух компонентов.

• Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.; Волчинская Е. К., Терещенко Я, Якушев М. Интернет и гласность. М., 1999. С. 14-15.

-Подробнее см.: Лопатин В. Н. Информационная безопасность и сеть Интернет //Тематическая серия: нормативная база вузовской науки. Годичное собрание научной общественности высшей школы России 3-5 марта 1998 года. Спецвыпуск. Тверь, 1998. С. 39-45.

• Барбара Гутман, Роберт Бэгвилл. Политика безопасности при работе в Интернете-техническое руководство. М., 1997.

• Закурдаев СВ. Internet и проблема информационной безопасности / Информационные системы. 1996. № 6. С. 96.

• Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г

15.4. Правовая защита информационных систем и прав на них

Правовая защита информационных систем и прав на них осуществляется по выбору субъекта правоотношений в административном порядке (в случаях, прямо установленных в законе: например, для пресечения монополистической деятельности и недобросовестной конкуренции предусматривается жалоба в федеральный антимонопольный орган) либо по общему правилу - в судебном порядке (суд, арбитражный суд или третейский суд). Защита прав субъектов в сфере разработки, производства и применения информационных систем осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба. Для рассмотрения конфликтных ситуаций и защиты прав участников в сфере создания и использования информационных систем могут создаваться временные и постоянные третейские суды. Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах. Отказ в доступе к информационным системам международного информационного обмена может быть обжалован в суды

Российской Федерации, если собственник или владелец данной системы международного информационного обмена находится под юрисдикцией Российской Федерации, либо в международный коммерческий арбитраж. Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.

Ответственность за нарушения международных норм и правил в области создания и использования информационных систем возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией.

В случае противоправных действий субъектов правоотношений в этой области органы исполнительной власти Российской Федерации и ее субъектов, осуществляющие контроль за международным информационным обменом, могут приостановить его на любой стадии до двух месяцев, что может быть обжаловано в суд.

Законом установлено, что за противоправные действия нарушители несут гражданско-правовую, административную или уголовную ответственность.

Безусловно, жертвы компьютерных правонарушений могли бы получать удовлетворение по гражданским искам. Однако гражданский процесс эффективен лишь в том случае, если правонарушители имеют достаточные имущественные ценности для удовлетворения иска. Поэтому неотвратимость наказания возможна лишь при наличии уголовных санкций, когда правонарушения переводятся (криминализуются) в разряд преступлений. При оценке необходимости криминализовать то или иное деяние руководствуются определенными правилами, принципами криминализации, в числе которых, в частности, называются: общественная значимость деяния и социально обусловленная возможность следования запрету на его совершение; массовость, типичность и устойчивость проявления деяний;

соответствие запрета Конституции и соразмерность положительных и отрицательных последствий криминализации; процессуальная осуществимость контроля за исполнением запрета.

В то же время, в Уголовном кодексе Российской Федерации предусмотрена ответственность за правонарушения в этой

области только в гл. 28 (ст. 272 - неправомерный доступ к компьютерной информации; ст. 273 - создание, использование и распространение вредоносных программ для ЭВМ; ст. 274 - нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети). Кроме того, к компьютерным преступлениям могут быть отнесены и другие преступления, связанные с посягательством на информационные права субъектов, на неприкосновенность частной жизни, на права в отношении объектов интеллектуальной собственности, на права, связанные с защитой от "вредной" информации. Поэтому, в уголовном праве, по-видимому, следует наряду с признаками компьютерных преступлений, отраженными в гл. 28 УК РФ, выделять особенности выявления и пресечения и других преступлений, которые могут совершаться в информационных компьютерных системах.

В настоящее время пока не выработано окончательно общепринятого определения термина "компьютерное преступление" или использующегося наряду с ним термина "связанное с компьютером преступление", хотя всеми признается, что такое явление существует. Дискуссии экспертов, пытающихся сформулировать это определение, не дают положительного результата, так как намерения авторов быть точными в отношении сферы применения конкретных определений приводят к тому, что при их использовании вне контекста возникают неточности. В отсутствии общего определения компьютерного преступления стали нормой действующие функциональные определения. К компьютерным преступлениям относят совершенные с помощью вычислительной техники, традиционные по характеру преступные деяния такие, как кража, мошенничество, подделка и причинение вреда, за которые предусматриваются уголовные санкции в законодательных системах всех стран. Но имеется и множество других потенциально новых деяний, связанных с неправильным употреблением или злоупотреблением компьютерными системами, за совершение которых может и должно устанавливаться уголовное наказание. В 1989 г. Комитет по проблемам преступности Совета Европы разработал ряд директив для национальных законодателей, где были перечислены уголовно наказуемые преступные деяния. Комитет не дал формального определения компьютерного преступления и оставил за странами возможность самим приспособить функциональные

характеристики деяний к специфическим национальным юридическим системам и историческим традициям.

Следует отметить, что часто используются такие не являющиеся синонимами, термины, как "неправильное использование компьютера" (computer misuse) и "злоупотребление компьютером" (computer abuse). Но любые уголовные законы, касающиеся компьютерных преступлений, должны делать различия между неправильным применением компьютерной системы по небрежности и преднамеренным несанкционированным доступом к компьютерной системе (или использованием компьютерной системы), составляющим компьютерное злоупотребление. Иными словами, уголовные законы должны отличать поведение, вызывающее раздражение, от преступного. При определении преступного поведения ведущую роль играет принцип наличия права. Например, служащий, получивший пароль от нанимателя без инструкции относительно возможности доступа к определенной базе данных, вряд ли может быть признан виновным в совершении преступления, если ознакомился с ней. Однако такой принцип неприменим к тому же самому служащему, если, для того чтобы получить доступ к той же самой базе, он украл пароль у своего коллеги или если ему известно, что доступ к базе данных запрещен. В этом случае поведение служащего считается преступным. При оценке поведения необходимо делать различия между неэтичностью и незаконностью. Только в том случае, когда точно

определено преступное поведение, может применяться уголовно-правовой запрет и

судебное преследование.

В настоящее время большинство стран мирового сообщества рассматривает компьютерные

правонарушения как уголовно-правовую категорию. Конкретное правовое регулирование в

каждой стране зависит от масштабов компьютерной преступности, состояния и структуры

законодательства. Несмотря на некоторое терминологическое несовпадение при

характеристике уголовно наказуемых деяний, признаки классификации компьютерных

преступлений в большинстве стран совпадают. Четко прослеживаются три подхода в

правовой практике разных стран:

Первый - отнесение к уголовным преступлениям несанкционированного доступа в

защищенные компьютерные системы, заражение вирусами и противоправное

использование компьютерных

систем и информации (Норвегия, Сингапур, Словакия, Филиппины, Южная Корея);

Второй - компьютерными преступлениями признаются лишь те деяния, которые связаны с

причинением ущерба имуществу и электронной обработке информации (Дания, Швеция,

Швейцария, Франция, Япония);

Третий - криминализация деяний, связанных не только с имущественным ущербом, но и с

нарушением прав личности, с угрозой национальной безопасности и т. д. (США,

Великобритания, Германия, Нидерланды).

Проблемой для всех стран в борьбе с компьютерной преступностью является наряду с

квалификацией таких деяний, методика их расследования, получения доказательств

и предупреждения.

Что касается отечественной практики нормотворческои деятельности по рассматриваемой

проблеме, то Россию можно отнести к странам третьей группы, хотя для нее характерно

определенное отставание в уровне компьютеризации и, видимо, в уровне компьютерной

преступности.

В настоящее время только небольшая часть компьютерных преступлений оказывается в

зоне внимания правоохранительных органов. Можно дать достаточно точное описание

различных типов компьютерных преступлений, но оказывается очень трудно точно

оценить статистику преступлений и уровень потерь. Как отмечалось в докладе по

компьютерной преступности, в органы правоприменения сообщается только о 5 %

компьютерных преступлений. По оценкам специалистов США, несколько лет назад только

за одно из каждых 200 000 совершенных компьютерных преступлений виновный

привлекался к суду. В последние годы во многих развитых странах усилилось

беспокойство по поводу темпов роста компьютерных преступлений и их угрозы всему

миру. Однако зачастую не существует никакой официальной статистики компьютерных

преступлений, а известные материалы на эту тему готовятся частными институтами на

основе гипотез, сообщений в печати и исследований различных национальных

правительственных агентств и открывают лишь "верхушку

айсберга".- Поскольку в коммерческом секторе основная цель защиты информации - это

обеспечение целостности информации и доступности систем, ее обрабатывающих.

Поэтому растет число компаний, применяющих системы резервного копирования и

средства обнаружения атак нарушающих доступность систем (атаки типа "отказ в

обслуживании"). В целом, происходит постепенная смена приоритетов. Если раньше

основное внимание уделялось применению технических средств защиты информации, то

сейчас на первый план выходит управление рисками, применение систем анализа

защищенности и т. п.

Компьютерные преступления имеют свои особенности как по объектному, так и по

субъектному составам:

• высокая скрытность (латентность), сложность сбора улик по установленным фактам;

• сложность доказательства в суде таких дел;

• высокий ущерб даже от единичного преступления;

прозрачность национальных границ для преступников и отсутствие единой правовой базы борьбы с ними;

- высокопрофессиональный состав субъектов преступлений(программисты - системные, банковские, специалисты в области телекоммуникационных систем и т. п.).

В общем случае, для того, чтобы осуществить взлом системы, необходимо пройти три основные стадии: исследование вычислительной системы с выявлением изъянов в ней, разработка программной реализации атаки и непосредственное ее осуществление. Объектный состав компьютерных преступлений также весьма разнороден и существенно изменился со времени первого компьютерного преступления в 1966 г. в городе Миннеаполис (подделка

банковских документов с помощью компьютера). Первые компьютерные преступления совершались с корыстными целями внутри организаций, имеющих ЭВМ, и лицами, имеющими к ним доступ. На следующем этапе компьютерные преступления совершаются также с целью вымогательства, шпионажа и саботажа. В 1985 г. на 7-м Конгрессе ООН "По профилактике преступлений и обращению с правонарушителями" впервые было заявлено об угрозе компьютерной преступности. На современном этапе различают следующие типы правонарушений в этой сфере (манипуляция данными, компьютерный шпионаж, противоправное использование компьютера, компьютерная диверсия, кража при помощи ЭВМ) и выделяют опасные тенденции в развитии компьютерной преступности :-

• рост финансовых хищений, мошенничеств, подлогов, укрытие доходов от уплаты налогов с помощью ЭВМ,

• большая вовлеченность организованных преступных сообществ и молодежи,

• нарушения прав человека, в том числе прав на неприкосновенность частной жизни и защиту от воздействия "вредной" информации,

• распространение экономического и политического шпионажа,

• "пиратство", нарушения прав на объекты интеллектуальной собственности,

• усиление терроризма и шантажа,

• рост числа "взломов" систем защиты и незаконное пользование услугами телефонных и телекоммуникационных организаций,

• усложнение существующих и появление новых способов совершения преступлений. В борьбе с компьютерными преступлениями выделяют два основных направления:

1. Профилактика и предупреждение компьютерных преступлений, которые предусматривают:

- развитие информационно-правовой культуры;

- создание, сертификацию и внедрение средств технической и программной защиты, а также лицензирование и аттестацию такой деятельности;

- подготовка квалифицированных кадров;

- создание специализированных организационных структур(администраций, служб компьютерной безопасности).

2. Выявление и пресечение компьютерных преступлений.

Для борьбы с компьютерными преступлениями наряду с созданием национальных

структур в международном сообществе за эти годы также созданы соответствующие

структуры:

1983 год - экспертная группа при Совете Европы, которая подготовила рекомендации,

утвержденные СЕ (1989, 1994),

1991 год - рабочая группа при Генеральном Секретариате Интерпола.

В России для борьбы с компьютерными преступлениями созданы соответствующие

управления в ФСБ и МВД РФ (1998 г. - управление "Р"). Результаты правоприменительной

практики в 1999-2000 гг. по уголовно-правовой защите прав на объекты интеллектуальной

собственности и от противоправных деяний в информационных системах приведены в

таблице.

Обращает внимание тенденция определенного роста регистрируемых компьютерных

преступлений и выявленных лиц в 1997-2000 г. соответственно: ст. 272 - 21/1; 54/17,

206/35; 584/130; ст. 273 - 1/1, 12/3, 79/38, 172/85; ст. 274 - 11/2, 1/0, 0/0, 44/1.

Наряду с этим общими проблемами, от решения которых зависит в большой степени

эффективность правовой защиты интеллектуальной собственности, в том числе в

информационных системах, остаются:

- крайне низкий уровень общественного правосознания, в том числе знания авторами своих

прав;

Таблица

Ответственность за преступления в области защиты прав на ОИС и компьютерной

информации

	Статья УК РФ	Подслед­ственность пост. 126 У ПК	Правопри­менение За 1999 г. зарег/ приост./ выявл/осужд.	Правопри­менение 3 2000 г. зарег при- ост./выявл/ осужд.
Автор, и смежн. права	146 - до 5 лет лиш. своб.	Прокуратура	606/ 59/296/ 65	875/ 27/543/ 5:
Патентное право	147 - до5 лет лиш. своб.	Прокуратура	18/3/36/76	46/3/17/10
Средства индивидуализации	180 - до2 лет исправит .работ.	Предв. следствие необязательно	526/5/211/161	444/5/106/47
Ноу-хау	183 - до 3 лет лиш. своб.	ОВД	12/1/0/3	53/4/14/1
Защита против недобр, конкуренции	182 - до2 лет лиш. своб.	ОВД	49/ 1/5/2	98 /0/7/0
Неправомерный доступ к ком-пьют. информации	272 - до 5 лет лиш. своб.	Прокуратура ОВД нал. полиция	206/6/35/22	584/7/130/20
Создание, использование и распр. вредоносн. програ мм для ЭВМ	273 - до 7 лет лиш. своб.	Прокуратура ОВД Налог, полиция	79/1/38/16	172/11/85/24
Нарушение правил экспл.ЭВМ, системы ЭВМ или их сети	274 - до 4 лет лиш. своб.	Прокуратура ОВД Налог, полиция	0/0/0/1	44/ 0/1/0

• отсутствие достаточного числа специалистов в этой сфере среди судей, работников прокуратуры, МВД, налоговой полиции, от кого зависит применение норм УК РФ на практике;

• отсутствие единой государственной политики в этой сфере, что нередко объясняется "борьбой ведомств" за полномочия в дележе интеллектуальной собственности;

• недостаточный уровень участия общественности в решении этих проблем.

-По данным того же глобального опроса, 49% опрошенных не знают, были ли у них в прошедшем году электронные кражи, 28% уверены, что они не понесли каких-либо финансовых потерь. Из остальных респондентов, признавших потери вследствие проникновения в информационные системы в 1997 году, 84% сказали, что они потеряли от $1000 до $100 000 долларов США, 16% опрошенных сообщили, что они потеряли более чем $100 000 долларов США. 22% фирм, занимающихся продажами через Web-сервера, имели потери информации, и только 13% компаний, не продающих продукты через Internet, столкнулись с этой же проблемой. 12% респондентов, имеющих электронные магазины, сообщили о краже данных и торговых секретов, и только три таких случая зафиксировано у компаний, не продающих продукты через систему Web. - Возгрин И. А. Вопросы организации правоохранительной деятельности на региональном уровне; Сальников В. П., Соболь И. А. Компьютерное информационное обеспечение деятельности правоохранительных органов; Янгол Н. Г. Компьютерная преступность и информационная безопасность России; Фетисов В. А. Компьютерные преступления: неформальная терминология или несовершенство законодательства // Сборник материалов международной научно-практической конференции 12-13 февраля 1999 г. "Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики". СПб., 1999; Горбатов В. С, Полянская О. Ю. Мировая практика криминализации компьютерных преступлений. М., 1998. Контрольные вопросы

1. Что понимается под информационной системой как объектом права?

2. Каковы основные виды информационных систем и их основные характеристики ?

3. Кто может быть субъектом прав на информационные системы?

4. В чем должна состоять роль государства в правовой охране прав на информационные системы?

5. Какие основные механизмы государственного регулирования в этой области закреплены в законодательстве?

6. В чем особенности правового регулирования отношений при международном информационном обмене?

7. В чем состоят особенности правового регулирования отношений в Интернет?

8. Как защитить свои права на информационную систему в гражданско-правовом порядке?

9. В каких случаях может наступить уголовная ответственность за нарушения прав на информационные системы?

10. Каковы пути развития законодательства по защите прав субъектов информационных отношений в открытых информационных системах?

Литература

Волчинская Е. К, Терещенко Л, Якушев. М. Интернет и гласность. М., 1999.

Горбатов В. С, Полянская О. Ю. Мировая практика криминализации компьютерных

преступлений. М., 1998.

Гутман Барбара, Бэгвилл Роберт. Политика безопасности при работе в Интернете -

техническое руководство. М., 1997.

"Компьютерная преступность: состояние, тенденции и превентивные меры ее

профилактики". Сборник материалов международной научно-практической конференции

12-13 февраля 1999 года СПб., 1999.

Костогрызов А. И., Липаев В. В. Сертификация качества функционирования

автоматизированных информационных систем. М., 1996.

Кушниренко С. П., Панфилова Е. И. Уголовно-процессуальные способы изъятия

компьютерной информации по делам об экономических

преступлениях. Учебное пособие. Изд. 2-е, испр. и доп. СПб., Санкт-Петербургский

юридический институт Генеральной прокуратуры РФ. 2001.

Лопатин В. Н Информационная безопасность и сеть Интернет // Тематическая серия:

нормативная база вузовской науки. Годичное собрание научной общественности высшей

школы России 3-5 марта 1998 г. Спецвыпуск. Тверь, 1998. С. 39-45.

Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство.

СПб., 2000. С. 272-328.

Лопатин В. Н. Концепция развития законодательства в сфере обеспечения

информационной безопасности. Изд. Гос. Думы РФ, М.,1998.

Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет:

выбор будущего" 17 декабря 1996 года.

Медведовский И. Д., Семьянов П. В., Платонов В. В. Атака через "Интернет". СПб., 1997.

Специальная техника и информационная безопасность. Учебник / Под ред. В. И. Кирина.

М., Академия управления МВД РФ. 2000.

Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды.

М., 1996.

Hardy Н Е. The History of the Net. Masters Thesis School of Communications Grand Valley

State University Allendale. ML, 1993.