Згадзай О.Э. Информатика для юристов: Под ред. С.Я. Казанцева

Подождите немного. Документ загружается.

лей, которым она доступна, а также по операциям над нею, кото-

рые разрешены указанным группам. Реализация этого процесса

требует разработки и включения в состав СУБД специальных ме-

ханизмов защиты.

Принятие решения о доступе к той или иной информации,

имеющейся в РБД, может зависеть от следующих факторов:

• времени и точки доступа;

• наличия в БД определенных сведений;

• текучесть состояния СУБД;

• полномочий пользователя;

• предыстории обращения к данным.

В первом случае доступ к БД с каждого терминала ЛВС может

быть ограничен некоторым фиксированным отрезком времени.

Во втором случае пользователь может получить из БД интересу-

ющие его сведения только при условии, что база данных содержит

некоторую взаимосвязанную с ними информацию определенного

содержания.

В третьем случае обновление информации в некоторой БД мо-

жет быть разрешено пользователю только в те моменты времени,

когда она не обновляется другими пользователями.

В четвертом случае для каждого пользователя прикладной про-

граммы устанавливаются индивидуальные права на доступ к раз-

личным элементам базы данных. Эти права регламентируют опера-

ции, которые пользователь может выполнять над указанными эле-

ментами. Например, пользователю может быть разрешен отбор эле-

ментов БД, содержащих информацию о товарах, предлагаемых на

бирже, но запрещено обновление этих сведений.

В основе пятого из перечисленных факторов лежит то обстоя-

тельство, что интересующую его информацию пользователь может

получить не непосредственным отбором тех или иных элементов

БД, а косвенным путем, т.е. посредством анализа и сопоставления

ответов СУБД на последовательно вводимые запросы (команды на

обновление данных). В связи с этим для обеспечения безопасности

информации в БД в общем случае необходимо учитывать предыс-

торию обращения к данным.

8.4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ

В КОРПОРАТИВНОЙ СЕТИ

Обеспечение безопасности информации в крупных автомати-

зированных системах является сложной задачей. Реальную сто-

имость содержащейся в таких системах информации подсчитать

сложно, а безопасность информационных ресурсов трудно изме-

рить или оценить.

Объектом защиты в современных АИС выступает территори-

ально распределенная гетерогенная сеть со сложной структурой,

211

предназначенная для распределенной обработки данных, часто

называемая корпоративной

сетью.

Характерной особенностью та-

кой сети является то, что в ней функционирует оборудование са-

мых разных производителей и поколений, а также неоднородное

программное обеспечение, не ориентированное изначально на

совместную обработку данных.

Решение проблем безопасности АИС заключается в построении

целостной системы защиты информации. При этом защита от фи-

зических угроз, например доступа в помещения и утечки инфор-

мации за счет ПЭМИ, не вызывает особых проблем. На практике

приходится сталкиваться с рядом более общих вопросов политики

безопасности, решение которых обеспечит надежное и беспере-

бойное функционирование информационной системы. Главными

этапами построения политики безопасности являются следующие:

• обследование информационной системы на предмет установ-

ления ее организационной и информационной структуры и угроз

безопасности информации;

• выбор и установка средств защиты;

• подготовка персонала работе со средствами защиты;

• организация обслуживания по вопросам информационной без-

опасности;

• создание системы периодического контроля информацион-

ной безопасности ИС.

В результате изучения структуры ИС и технологии обработки

данных в ней разрабатывается концепция

информационной

безопас-

ности ИС, на основе которой в дальнейшем проводятся все рабо-

ты по защите информации в ИС. В концепции находят отражение

следующие основные моменты:

• структура сети организации;

• существующие угрозы безопасности информации, возможно-

сти их реализации и предполагаемый ущерб от нее;

• организация хранения информации в ИС;

• организация обработки информации (на каких рабочих мес-

тах и с помощью какого программного обеспечения);

• регламентация допуска персонала к той или иной информации;

• ответственность персонала за обеспечение безопасности.

В конечном итоге на основе Концепции информационной бе-

зопасности ИС создается схема безопасности, структура которой

должна обеспечивать выполнение следующих функций:

• защиты от несанкционированного проникновения в корпо-

ративную сеть и возможности утечки информации по каналам связи;

• разграничение потоков информации между сегментами сети;

• защита критичных ресурсов сети;

• защита рабочих мест и ресурсов от несанкционированного

доступа (НСД);

• криптографическая защита информационных ресурсов.

212

В настоящее время не существует однозначного решения, аппа-

ратного или программного, обеспечивающего одновременное вы-

полнение всех перечисленных условий. Требования конкретного

пользователя по защите информации в ИС существенно разнятся,

поэтому каждая задача решается часто индивидуально с помощью

тех или иных известных средств защиты. Считается нормальным,

когда 10—15

стоимости информации тратится на продукты, обес-

печивающие безопасность функционирования сетевой информа-

ционной системы.

Защита от несанкционированного проникновения и утечки инфор-

мации. Основным источником угрозы несанкционированного про-

никновения в АИС является канал подключения к внешней сети,

например, к Internet. Вероятность реализации угрозы зависит от

множества факторов, поэтому говорить о едином способе защиты

в каждом конкретном случае не представляется возможным. Рас-

пространенным вариантом защиты является применение межсете-

вых экранов или брандмауэров.

Брандмауэр — барьер между двумя сетями, внутренней и внеш-

ней, обеспечивает прохождение входящих и исходящих пакетов в

соответствии с правилами, определенными администратором сети.

Брандмауэр устанавливается у входа в корпоративную сеть и все

коммуникации проходят через него. Возможности межсетевых эк-

ранов позволяют определить и реализовать правила разграничения

доступа как для внешних, так и для внутренних пользователей

корпоративной сети, скрыть, при необходимости, структуру сети

от внешнего пользователя, блокировать отправку информации по

«запретным» адресам, контролировать использование сети и т.д.

Вход в корпоративную сеть становится узким местом, прежде все-

го для злоумышленника.

Выбор брандмауэров достаточно широк. В качестве рекоменда-

ции необходимо отметить, что желательно ориентироваться на

продукты, сертифицированные Гостехкомиссией России. Несмот-

ря на более высокую стоимость (сертифицированный экран стоит

в среднем на 10—15% дороже несертифицированного), примене-

ние сертифицированных межсетевых экранов дает ряд преимуществ

в решении юридических аспектов организации защиты конфиден-

циальной информации, а также некоторую гарантию качества ре-

ализации защитных механизмов в соответствии с руководящими

документами, действующими в нашей стране

Разграничение потоков информации между сегментами сети. В за-

висимости от характера информации, обрабатываемой в том или

ином сегменте сети, и от способа взаимодействия между сегмен-

тами реализуют один из следующих вариантов.

В первом варианте не устанавливается никакого разграничения

информационных потоков, т.е. защита практически отсутствует.

Такой вариант оправдан в случаях, когда ни в одном из взаимо-

213

действующих сегментов не хранится и не обрабатывается критич-

ная информация или когда сегменты сетевой информационной

системы содержат информацию одинаковой важности и находятся

в одном здании в пределах контролируемой зоны.

Во втором варианте разграничение достигается средствами ком-

муникационного оборудования (маршрутизаторы, переключатели

и т.п.). Такое разграничение не позволяет реализовать защитные

функции в полном объеме, поскольку, во-первых, коммуникаци-

онное оборудование изначально не рассматривается как средство

защиты, и, во-вторых, требуется детальное представление о струк-

туре сети и циркулирующих в ней информационных потоков.

В третьем варианте предполагается применение брандмауэров.

Данный способ применяется, как правило, при организации вза-

имодействия между сегментами через сеть Internet, когда уже уста-

новлены брандмауэры, предназначенные для контроля за пото-

ками информации между информационной системой и сетью

Internet.

Защита критичных ресурсов

АИС.

Наиболее критичными ресур-

сами корпоративной сети являются серверы, а основным спосо-

бом вмешательства в нормальный процесс их функционирования

является проведение атак с использованием уязвимых мест в ап-

паратном и программном обеспечении. Атака может быть реализо-

вана как из внешней сети, так и из внутренней. Основная задача

заключается не столько в своевременном обнаружении и регист-

рации атаки, сколько в противодействии ей.

Наиболее мощными инструментами защиты, предназначенны-

ми для оперативного реагирования на подобные нападения, явля-

ются специальные системы, наподобие системы RealSecure, про-

изводимой американской корпорацией Internet Security Systems,

Inc.,

которые позволяют своевременно обнаружить и предотвра-

тить наиболее известные атаки, проводимые по сети.

Защита рабочих мест

ресурсов от НСД. До настоящего времени

большинство автоматизированных систем ориентируется только на

встроенные защитные механизмы сетевых операционных

систем.

При

правильном администрировании такие механизмы обеспечивают

достаточную защиту информации на серверах корпоративной сети.

Однако обработка информации, подлежащей защите, произ-

водится на рабочих станциях, подавляющее большинство которых

(более 90%) работает под управлением MS DOS или Windows 95 и

не имеет средств обеспечения безопасности, так как эти опера-

ционные системы не содержат встроенных механизмов защиты.

Как следствие, на незащищенном рабочем месте может обраба-

тываться критичная информация, доступ к которой ничем не

ограничен. Для рабочих станций рекомендуется применять допол-

нительные средства защиты, часть из которых описана в преды-

дущем разделе.

214

Криптографическая защита информационных ресурсов. Шифро-

вание является одним из самых надежных способов защиты дан-

ных от несанкционированного ознакомления. Особенностью при-

менения подобных средств в России является жесткая законода-

тельная регламентация. Для защиты конфиденциальной информа-

ции разрешается применять только сертифицированные ФАПСИ

продукты. В настоящее время в корпоративных сетях они устанав-

ливаются только на тех рабочих местах, где хранится информа-

ция, имеющая очень высокую степень важности.

Этапы построения политики безопасности. По окончании работ

первого этапа

—

обследования информационной системы

—

необ-

ходимо иметь полное представление о том, в каком состоянии

находится корпоративная сеть, и о том, что нужно сделать, чтобы

обеспечить в ней защиту информации.

На основе данных обследования можно перейти ко второму

этапу — выбору, приобретению, установке, настройке и эксплуа-

тации систем защиты в соответствии с разработанными рекомен-

дациями.

Любое средство защиты создает дополнительные неудобства в

работе пользователя, при этом препятствий тем больше, чем мень-

ше времени уделяется настройке систем защиты. Администратор

безопасности должен ежедневно обрабатывать данные регистра-

ции, чтобы своевременно корректировать настройки, обеспечива-

ющие адаптацию к изменениям в технологии обработки информа-

ции. Без этого любая система защиты, какой бы хорошей она ни

была, обречена на медленное вымирание.

Третий этап

—

обучение администраторов безопасности работы

со средствами защиты. В процессе обучения администратор полу-

чает базовые знания о технологии обеспечения информационной

безопасности, об имеющихся в операционных системах подсисте-

мах безопасности и о возможностях систем защиты, о технологи-

ческих приемах, используемых при их настройке и эксплуатации.

Четвертый этап — информационное обслуживание по вопро-

сам безопасности. Наличие своевременной информации об уязви-

мых местах и способах защиты способствует принятию адекватных

мер обеспечения безопасности. Источники подобных сведений —

книги, журналы, Web-серверы и

т. п.

Однако администратор безо-

пасности не всегда имеет достаточное количество времени для

поиска необходимых сведений в этом море информации. Поэтому

при выборе системы защиты необходимо учитывать возможности

обеспечения последующей информационной поддержки.

Пятый этап

—

периодический аудит системы информационной

безопасности. Корпоративная сеть является постоянно изменяю-

щейся структурой: появляются новые серверы и рабочие станции,

меняется программное обеспечение и его настройки, состав ин-

формации, персонал, работающий в организации, и т.д Все это

215

приводит к тому, что степень защищенности системы постоянно

изменяется и, что наиболее опасно, снижается.

Чтобы адаптировать систему информационной безопасности к

новым условиям работы, необходимо отслеживать изменения и

своевременно реагировать на них. Многие работы по анализу со-

стояния защищенности корпоративной сети могут быть выполне-

ны при помощи специальных программных средств, например

Internet Scanner и System Security Scanner из семейства SAFESUITE

корпорации Internet Security Systems Inc. Такие программные сред-

ства существенно облегчают работу администратора безопасности

по поиску ошибок в настройках и выявлению критичного про-

граммного обеспечения, а также позволяют в автоматизирован-

ном режиме отслеживать состояние корпоративной сети, своевре-

менно обнаруживать и устранять возможные источники проблем.

Составной частью работ пятого этапа является корректировка

плана защиты в соответствии с реальным состоянием корпоратив-

ной сети, поскольку самая совершенная схема рано или поздно

устаревает и становится препятствием на пути совершенствования

технологии обработки данных.

Следует помнить, что не существует стандартных решений,

одинаково хорошо работающих в разных условиях. Всегда возмож-

ны и необходимы дополнения к рассмотренному общему плану

организации защиты корпоративной сети, учитывающие особые

условия той или иной организации. Однако реализация комплекса

рассмотренных мероприятий с учетом возможных дополнений спо-

собна обеспечить достаточный уровень защищенности информа-

ции в корпоративной сети.

Глава 9. КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

Процесс информатизации общества наряду с положительными

последствиями имеет и ряд отрицательных сторон. Так, например,

объединение компьютеров в глобальные сети с одной стороны,

дало возможность большому количеству людей приобщиться к ог-

ромному массиву накопленной в мире информации, а с другой

стороны, породило проблемы с охраной интеллектуальной соб-

ственности, помещаемой в сеть и хранящейся в ней.

Широкое распространение и внедрение во все сферы жизни

общества компьютеров и компьютерных технологий привело и к

тому, что изменился сам характер многих преступлений, появи-

лись новые их виды.

Преступные группы и сообщества также начали активно ис-

пользовать в своей деятельности новые информационные техно-

логии. Для достижения прежде всего корыстных целей преступни-

ки стали активно применять компьютеры и специальную технику,

создавать системы конспирации и скрытой связи в рамках систем-

ного подхода при планирования своих действий. Одновременно

наблюдается резкое нарастание криминального профессионализ-

ма — количества дерзких по замыслу и квалифицированных по

исполнению преступлений.

Очевидно, что рассматриваемые проблемы не могли не за-

тронуть и сферу деятельности правоохранительных органов. Воз-

никла необходимость в разработке подходов к исследованию

новых видов преступлений, методов их расследования и профи-

лактики.

9.1.

ПОНЯТИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

И ИХ КЛАССИФИКАЦИЯ

Негативным последствием информатизации общества является

появление так называемой компьютерной преступности.

литера-

туре до настоящего времени ведется полемика о том, какие дей-

ствия следует относить к разряду компьютерных преступлений.

Сложность решения вопроса заключается также и в том, что диа-

пазон противоправных действий, совершаемых с использованием

средств компьютерной техники, чрезвычайно широк — от пре-

ступлений традиционного типа до преступлений, требующих вы-

сокой математической и технической подготовки.

217

Появление на рынке в 1974 г. компактных и сравнительно недо-

рогих персональных компьютеров дало возможность подключаться

к мощным информационным потокам неограниченному кругу лиц.

Встал вопрос о контроле доступа к информации, ее сохранности

и целостности. Организационные меры, а также программные и

технические средства защиты информации оказались недостаточ-

но эффективными.

Особенно остро проблема несанкционированного вмешатель-

ства в работу компьютерных систем дала о себе знать в странах с

развитой информационной инфраструктурой. Вынужденные при-

бегать к дополнительным мерам безопасности, они стали активно

использовать правовые, в том числе и уголовно-правовые средства

защиты. Так, например, в Уголовном кодексе Франции в 1992 г.

система преступлений против собственности пополнилась специ-

альной главой «О посягательствах на системы автоматизирован-

ной обработки данных». В ней предусмотрена ответственность за

незаконный доступ ко всей или к части системы автоматизирован-

ной обработки данных, воспрепятствование работе или наруше-

ние правильности работы системы или ввод в нее обманным спо-

собом информации, уничтожение или изменение базы данных.

Изучить и разработать проект специальной конвенции, посвящен-

ной проблеме правонарушений в сфере компьютерной информа-

ции, счел необходимым и Совет Европы.

Развивалась компьютерная преступность и в СССР. Так, одно

из первых в нашей стране компьютерных преступлений, совер-

шенное в 1979 г. в Вильнюсе

—

хищение 78 584 руб.

—

удостои-

лось занесения в международный реестр подобных правонару-

шений. Российские правоведы уже давно ставили вопрос о не-

обходимости законодательного закрепления правоотношений,

вытекающих из различных сфер применения средств автомати-

зированной обработки информации. Определенным этапом ста-

ло принятие в 1992 г. Закона РФ «О правовой охране программ

для электронно-вычислительных машин и баз данных». Закон

содержал положение о том, что выпуск под своим именем чу-

жой программы для ЭВМ или базы данных, либо незаконное

воспроизведение или распространение таковых влечет уголов-

ную ответственность. Однако соответствующих изменений в УК

РФ внесено не было. В 1994 г. был принят Гражданский кодекс,

который содержит ряд норм, связанных с компьютерной ин-

формацией, а в 1995 г. — Федеральный закон об информации,

информатизации и защите информации. Логическим развитием

правовой системы, создающей условия безопасности автомати-

зированной обработки информации, стало включение в УК РФ

1996 г. группы статей, предусматривающих основания уголов-

ной ответственности за нарушения в сфере компьютерной ин-

формации.

218

Хотя действующее в большинстве стран уголовное законода-

тельство является достаточно гибким, чтобы квалифицировать

правонарушения этого типа, социальные и технические измене-

ния создают все новые и новые проблемы. Поэтому некоторые из

известных мировой практике компьютерных посягательств не под-

падают под действие уголовного законодательства и в юридичес-

ком смысле не могут считаться преступными. Так, существует точ-

ка зрения, что компьютерных преступлений, как преступлений

специфических в юридическом смысле, не существует и следует

говорить лишь о компьютерных аспектах преступлений

Вместе с тем, специалисты в данной области исследований

пришли к выводу, что к разряду компьютерных следует отнести те

преступления, у которых объектом преступного посягательства

является

информация,

обрабатываемая и хранящаяся в компьютер-

ных системах, а

орудием

посягательства служит

компьютер.

По это-

му пути пошло и российское законодательство.

Следует заметить, что с точки зрения уголовного законодатель-

ства охраняется компьютерная информация, которая определяется

как информация, зафиксированная на машинном носителе или

передаваемая по телекоммуникационным каналам в форме, до-

ступной восприятию ЭВМ. Вместо термина «компьютерная инфор-

мация» можно использовать и термин «машинная информация»,

под которой подразумевается информация, запечатленная на ма-

шинном носителе, в памяти электронно-вычислительной маши-

ны,

системе ЭВМ или их сети. В качестве предмета или орудия

преступления, согласно законодательству, может выступать ком-

пьютерная информация, компьютер, компьютерная система или

компьютерная сеть.

При рассмотрении вопросов о классификации компьютерных

преступлений и их криминалистической характеристике целесо-

образно исходить из определения компьютерного преступления в

широком смысле слова. В этом случае под компьютерным преступ-

лением следует понимать предусмотренные законом обществен-

но-опасные деяния, совершаемые с использованием средств ком-

пьютерной техники. Правомерно также использовать термин «ком-

пьютерное преступление» в широком значении как социологичес-

кую категорию, а не как понятие уголовного права.

Классификация компьютерных преступлений может быть про-

ведена по различным основаниям. Так, например, можно условно

подразделить все компьютерные преступления на две большие ка-

тегории: преступления, связанные с вмешательством в работу ком-

пьютеров, и преступления, использующие компьютеры как необ-

ходимые технические средства. При этом не принимаются во вни-

Батурин Ю М Право и политика в компьютерном круге — М.: Наука, 1987.

219

мание так называемые «околокомпьютерные» преступления, свя-

занные с нарушением авторских прав программистов, незакон-

ным бизнесом на вычислительной технике, а также физическим

уничтожением компьютеров и

т.

п.

Одна из наиболее общих классификаций была предложена в

1983 г. группой экспертов Организации экономического сотрудни-

чества и развития. В соответствии с ней выделяются следующие

криминологические группы компьютерных преступлений:

• экономические преступления;

• преступления против личных прав и частной сферы;

• преступления против государственных и общественных ин-

тересов.

Экономические компьютерные преступления являются наибо-

лее распространенными. Они совершаются по корыстным моти-

вам и включают в себя компьютерное мошенничество, кражу про-

грамм («компьютерное пиратство»), кражу услуг и машинного вре-

мени, экономический шпионаж.

Компьютерными преступлениями против личных прав и част-

ной

сферы

являются незаконный сбор данных о лице, разглашение

частной информации (например, банковской или врачебной тай-

ны),

незаконное получение информации о расходах и т.д.

Компьютерные преступления против

государственных

и обще-

ственных

интересов

включают в себя преступления, направленные

против государственной и общественной безопасности, угрожаю-

щие обороноспособности государства, а также злоупотребления с

автоматизированными системами голосования и

т.

п.

Подходить к классификации компьютерных преступлений наи-

более оправданно с позиций составов преступлений, которые мо-

гут быть отнесены к разряду компьютерных. Хотя состав компью-

терных преступлений в настоящее время четко не определен, можно

выделить ряд видов противоправных деяний, которые могут быть

в него включены. Перечислим некоторые основные виды преступ-

лений, связанных с вмешательством в работу компьютеров:

•

несанкционированный

доступ в

корыстных

целях к информации,

хранящейся в

компьютере

или

информационно-вычислительной

сети.

Несанкционированный доступ осуществляется, как правило, с

использованием чужого имени, изменением физических адресов

технических устройств, использованием информации, оставшей-

ся после решения задач, модификацией программного и инфор-

мационного обеспечения, хищением носителя информации, уста-

новкой аппаратуры записи, подключаемой к каналам передачи

данных. Бывает, что некто проникает в компьютерную систему,

выдавая себя за законного пользователя. Системы, которые не об-

ладают средствами аутентичной идентификации (например, по фи-

зиологическим характеристикам: по отпечаткам пальцев, по ри-

сунку сетчатки глаза, голосу и

т.

п.), оказываются беззащитны про-

220