Организационно-правовая защита информации в автоматизированных системах.

 

Эффективное развитие и функционирование общества, а также любой его организационной или организационно-технической системы обеспечиваются комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права.

Право, регулируя имущественные и социальные отношения, выражает и обеспечивает относительную стабильность и согласованность действий субъектов в отношении объектов права, их составных элементов и структур, т. е. в данном случае в отношении информационных ресурсов. Правовой (судебный) механизм защиты интересов противоборствующих сторон не менее эффективен, чем иерархическая система управления, основу правоотношений в которой составляет административный (организационный) характер разрешения проблемных ситуаций на основе подчиненности нижестоящих звеньев вышестоящим.

Как показывает опыт экономически развитых стран, в условиях преобладания рыночных отношений или относительной равноправности субъектов управления необходимо гармоничное сочетание правовых и административных методов регулирования деятельности организационных структур.

Нынешнее состояние развития нашего общества характеризуется развалом иерархических административно-командных структур и медленным становлением горизонтальных структур управления. Устарела и неадекватна переходному состоянию к рыночной экономике законодательная база. Неопределенность общей социально-политической обстановки является основной причиной того, что многие вопросы права в области информационных отношений не проработаны. В сфере безопасности информационных технологий эти трудности усугубляются процессами информатизации практически во всех сферах деятельности общества.

Таким образом, существует общественная потребность в решении вопросов регулирования права в области информационных отношений, в том числе по безопасности информации, которая, определяется следующими объективными предпосылками:

· законодательным разрушением прежнего монопольного порядка распоряжения национальным информационным ресурсом со стороны государственных органов управления;

· переходом к рыночной модели экономики, когда государство является не только гарантом правового регулирования правоотношений юридических и физических лиц, но также и субъектом этих отношений;

· необходимостью охраны национального информационного ресурса при включении в сферу международных информационных отношений;

· возникновением новых электронных форм информационных отношений на основе использования технических средств: электронная подпись, электронное соглашение с правом юридической силы и т.п.

Эти предпосылки обусловили принятие новых законодательных актов и нормативно-руководящих документов, регулирующих правовые отношения при использовании информационных ресурсов. Проблема защиты информации является сложной и многоаспектной. Для ее решения требуется не только реализовать комплекс специальных организационно-технических мероприятий. Необходимо иметь целостную систему регламентации правил построения, использования и управления этим комплексом, которая позволяла бы учесть все правовые и имущественные аспекты информационных отношений между собственниками защищаемой информации.

Еще недавно такая задача не стояла перед разработчиками защищенных информационных систем, поскольку информация не рассматривалась как объект имущественных отношений. Требовалось обеспечить только конфиденциальность и целостность информации, содержащей государственную тайну. Распространение рыночных отношений, появление собственников информационных ресурсов и переход на технологии электронного документооборота определяют новые задачи при построении организационно-правовой защиты информации.

Организационно-правовыми задачами при построении защищенных систем электронной обработки информации являются:

· определение статуса информации на электронных носителях, как объекта правовых отношений;

· правовая поддержка электронных технологий обеспечения подлинности, целостности, конфиденциальности электронных документов и доступности информации для субъектов информационных отношений при соблюдении законов и правил доступа;

· обеспечение нормативно-руководящей базы для построения систем защиты информации при использовании электронных технологий;

· определение административной и уголовной ответственности при нарушении субъектами правового статуса информационных ресурсов.

Правовое обеспечение проблемы информационной безопасности в значительной степени зависит от вида и характера носителей информации. Широкое применение технических и прежде всего компьютерных средств обработки и передачи данных увеличивает риск ее незаконного использования. Электронная форма записи повышает возможность дистанционного перехвата без видимого перемещения материальных объектов в виде самих информационных систем.

Наличие различных источников угроз, необходимость ведения бумажного и электронного делопроизводства конфиденциального характера требуют разграничения прав, обязанностей и компетенции различных органов государственного управления, администрации коммерческих и некоммерческих структур, юридических и физических лиц, а также установления мер административной и уголовной ответственности.

Соответствующая организационная структура, реализующая комплекс мер безопасности, базируется на нормативно-технической, методической и организационно-распорядительной документации, определяющей статус, права и обязанности органов защиты, лицензирования их деятельности, сертификации технических средств, страхование рисков потерь сведений.

Проблема информационной безопасности постоянно усугубляется процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и прежде всего вычислительных систем. Это дает основание поставить проблему компьютерного права, одним из основных аспектов которой является так называемые компьютерные посягательства. Об актуальности проблемы свидетельствует обширный перечень возможных способов компьютерных преступлений.

Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программное обеспечение и базы данных, для которых технические средства являются окружением. В этом смысле компьютер может выступать и как предмет посягательств, и как инструмент. Если разделять два последних понятия, то термин компьютерное преступление как юридическая категория не имеет особого смысла. Если компьютер - только объект посягательства, то квалификация правонарушения может быть произведена по существующим нормам права. Если же - только инструмент, то достаточен только такой признак, как «применение технических средств».

Возможно объединение указанных понятий, когда компьютер одновременно и инструмент и предмет. В частности, к этой ситуации относится факт хищения машинной информации. Однако если хищение информации не связано с потерей материальных и финансовых ценностей, то такой факт трудно квалифицировать как преступление. Если же с данным фактом связываются нарушения интересов национальной безопасности, авторства, то уголовная ответственность прямо предусмотрена в соответствующих Законах РФ.

Иными словами, компьютерных преступлений как специфических объектов уголовного права не существует. Скорее это социологическая, чем юридическая категория. Как считают специалисты, правильнее говорить о компьютерных аспектах посягательств, в результате которых многие традиционные преступления модифицировались. Это создало ряд правовых проблем, которые должны быть разрешены в рамках уголовного права. Тем не менее, это не значит, что компьютерные правонарушения на настоящем этапе могут оставаться без соответствующих мер ответственности. Большинство из них подпадают под действующее уголовное законодательство и злоупотребления в данной сфере не менее наказуемы, чем в других областях общественной деятельности.

Для характеристики возможных видов уголовных наказаний воспользуемся классификацией типов правонарушений с точки зрения их криминализации, то есть возможности отнесения к тому или иному объекту уголовного права. Рассматриваются пять групп посягательств:

1. Уничтожение объектов компьютерной техники:

· уничтожение техники;

· уничтожение носителей с машинной информацией;

· уничтожение (удаление) файлов или сообщений;

· уничтожение средств защиты машинной информации от несанкционированного доступа.

2. Изменение объектов компьютерной техники:

· повреждение аппаратуры;

· несанкционированное изменение (модификация) записей файлов, сообщений или подмена файлов, сообщений;

· несанкционированные изменения средств защиты информации компьютерной системы от несанкционированного доступа;

· блокирование работы компьютерной системы, вызов отказа в обслуживании пользователей;

· несанкционированное вливание в компьютерную систему сторонних программных средств.

3. Изъятие объектов компьютерной техники:

· хищение аппаратуры;

· хищение машинной информации на носителях (магнитные ленты, магнитные диски, распечатки и т.д.);

· копирование (размножение) файлов с последующим изъятием копий на носителях.

4. Хищения с помощью компьютерной техники:

· материальных ценностей, денег и услуг;

· информации для различных целей.

5. Несанкционированный доступ:

· несанкционированные «обходы» средств защиты информации от несанкционированного доступа;

· несанкционированный доступ в компьютерную систему;

· несанкционированный запуск программ обработки информации.

Для двух первых групп посягательств почти полностью работают нормы действующего Уголовного кодекса РФ «Умышленное уничтожение или повреждение государственного или общественного имущества» - ст. 98; «Неосторожное уничтожение или повреждение личного имущества граждан» - ст. 149. Поскольку, например, предметом преступления, предусмотренного ст. 98 УК РФ может быть любое государственное или общественное имущество, представляющее материальную ценность (в том числе и такое, которое нельзя изъять и, следовательно, похитить), то данная норма охватывает и машинную информацию. Под уничтожением в смысле ст. 98 УК РФ понимается приведение объектов компьютерной техники в полную негодность, когда он не может быть использован по назначению. Поскольку объект компьютерной техники можно уничтожить или повредить (изменить) и физически, и интеллектуальными (программными) методами, сам способ совершения преступления для квалификации содеянного по ч.1 ст. 98 УК РФ значения не имеет. Уничтожение же или повреждение программных средств вычислительной техники (совершенное путем поджога или иными общеопасным способом), влечет квалификацию содеянного по ч. 2 ст. 98 УК РФ. Состав данного преступления с отягчающими обстоятельствами (ч. 2) будет иметь место в случае, когда оно повлекло человеческие жертвы, причинен крупный ущерб или наступили иные тяжкие последствия (например, длительная остановка или дезорганизация работы предприятия и т.д.).

 

Возможны также случаи, когда преступной является фальсификация информации (в частности, приписки и другие искажения отчетности о выполнении планов - ст. 152 УК РФ).

Особое внимание привлекают статьи УК РФ напрямую определяющие наказание за преступления в сфере компьютерных технологий.

Статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»:

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от 200 до 500 МРОТ или в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от 3 до 7 лет.

 

Перейдем к третьей группе посягательств. Вопрос о хищении аппаратуры, включая носители информации, проблемы не представляет. Сложнее дело обстоит с хищением, копированием и размножением (тиражированием) машинной информации. Подобные действия не могут быть квалифицированы как хищение, под которым понимается незаконное и безвозмездное извлечение с корыстной цепью имущества из наличных фондов государственных или общественных организаций и обращение его в пользу отдельных лиц. Хищение в виде кражи, если виновный не имеет правомочий в отношении похищенного имущества или присвоение, если такие полномочия есть, возможно лишь при изъятии скорыстной цепью машинной информации вместе с материальным носителем. Здесь надо учитывать, что стоимость похищенного материального носителя, включая запись информации на носитель, составляет сравнительно небольшую сумму, когда, например, сама разработка программного обеспечения может обходиться в десятки и сотни тысяч рублей. Сумма же похищенного должна оцениваться исходя из затрат на изготовление программных средств и стоимости данного вида машинной информации как товара.

Рассмотренные правонарушения, равно как и копирование (размножение) файлов без изъятия из компьютерной системы, влекут за собой ответственность по нормам патентного и авторского права.

Квалификация хищений, совершаемых с помощью вычислительной техники, (четвертая группа посягательств) в принципе трудностей не вызывает. Различия в квалификации определяются, прежде всего, правомочиями лица по отношению к материальным ценностям. Если хищение совершается лицом, которому они вверены в силу должностных обязанностей. договорных отношений или специального поручения государственной или общественной организацией, и если лицо осуществляет правомочия по распоряжению, управлению, доставке и хранению этих ценностей, то хищение квалифицируется по ст. 92 УК РФ. В этом случае имущество изымается лицом с использованием своего служебного положения. При мошенничестве же (ст. 93 УК РФ) виновный не имеет отношения к имуществу, а завладевает им с помощью обмана представителя государственной или общественной организации. Так, используя компьютер, можно выписывать себе премии, перечислять денежные суммы на свой или подставной счет, начисляя зарплату на «мертвых душ» и т.п.

С помощью компьютера можно за взятку направить материальные ценности не по назначению, осуществлять приписки, должностные подлоги, искажать отчетность (ст.ст. 151, 175 УК РФ).

Надо специально выделить случаи, когда возможно сочетание использования программных средств вычислительной техники и как предмета для уничтожения программы в процессе поиска нужной информации при ее «хищении». Возможно повреждение и этой, и другой информации, причем как чисто программными, так и физическими методами. Тогда ответственность должна определяться по совокупности преступлений (ст.98 УК РФ и другая соответствующая статья кодекса).

 

Наконец, последняя группа посягательств. Значительная часть описанных правонарушений возможна только благодаря осуществлению несанкционированного доступа в компьютерную систему. Эта норма квалифицируется по двум статьям УК РФ.

Статья 272 УК РФ «Неправомерный доступ к компьютерной информации».

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, работы ЭВМ, системы ЭВМ или их сети, - наказываются штрафом в размере от 200 до 500 МРОТ или в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо лишением свободы на срок до 2 лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказываются штрафом в размере от 500 до 800 МРОТ или в размере заработанной платы или иного дохода осужденного за период от 5 до 8 месяцев, либо исправительными работами на срок от 1 года до 2 лет, либо арестом на срок от 3 до 6 месяцев, либо лишением свободы на срок до 5 лет.

Статья 274 УК РФ «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными работами на срок от 180 до 240 часов, либо ограничением свободы на срок до 2 лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до 4 лет.

 

Важным аспектом права в сфере информационных технологий является создание условий для признания юридической силы электронных документов. Последние несколько лет происходит постепенный переход от бумажной к электронной технологии обработки информации. Со временем можно ожидать полного вытеснения бумажного документооборота электронным. Однако представление традиционных бумажных документов в виде электронных последовательностей, состоящих из нулей и единиц, обезличивает последние. Защитных атрибутов бумажных документов: подписей, печатей и штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., - у электронного представления документов нет. Поэтому возникает задача разработки механизмов электронной защиты, которые бы могли заменить подпись и печать на бумажных документах. Одним из таких механизмов защиты является электронная цифровая подпись (digital signature), которая представляет собой дополнительную информацию, приписываемую к защищаемым данным. Цифровая подпись зависит от содержания подписываемого документа и некоего секретного элемента (ключа), которым обладает только лицо, участвующее в защищенном обмене.

Механизм ЭЦП должен обеспечивать несколько функций.

Во-первых, цифровая подпись должна подтверждать, что подписывающее лицо не случайно подписало электронный документ.

Во-вторых, цифровая подпись должна подтверждать, что только подписывающее лицо, и только оно, подписало электронный документ.

В-третьих, цифровая подпись должна зависеть от содержания подписываемого документа и времени его подписания.

В-четвертых, подписывающее лицо не должно иметь возможности в последствии отказаться от факта подписи документа.

Одно из первых упоминаний о электронной цифровой подписи в отечественных законах приведено в Гражданском Кодексе (ст. 160, п.2), согласно которому при совершении сделок допускается применение ЭЦП лишь в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашениями сторон.

В 1995 году был принят Федеральный Закон «Об информации, информатизации и защите информации». В пункте 3 статьи 5 говорится, что юридическая сила документа может подтверждаться электронной цифровой подписью. При этом «юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи установленного режима их использования». «Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии» (п.4).

Гражданский Кодекс и Закон «Об информации, информатизации и защите информации» лишь подтверждают возможность применения ЭЦП, но не регламентируют случаи и порядок ее использования. Эти задачи возлагаются на дополнительные правовые акты. Таким актом является закон «Об электронной цифровой подписи» подписанный Президентом РФ 10 января 2002 года. Рассмотрим основные положения этого закона, который является основой для организации защищенного электронного документооборота.

Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Основные используемые понятия.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.

Реализацию механизмов ЭЦП должны осуществлять специально созданные удостоверяющие центры (УЦ). Целью создания УЦ является организация процесса выдачи (замены) и отзыва сертификатов открытых ключей, создания централизованной системы учета выдачи, отзыва и контроля операций пользователей и администраторов центров регистрации. УЦ заверяет открытые ключи пользователей и выдает сертификаты, которые могут быть использованы:

· для подписи и шифрования почтовых сообщений, передаваемых между участниками территориально распределенной корпоративной сети, партнерами и поставщиками;

· для аутентификации сервера и клиентов на удаленном сервере при встраивании криптографических механизмов в клиент-серверные приложения.

Федеральные органы государственной власти, в том числе, органы военного управления, а также организации, участвующие в документообороте с указанными органами, должны использовать для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов и организаций.