Концентрация информации в машинной памяти компьютеров - аналогично концентрации наличных денег в банках - заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность - все эти положения требуют усиления внутреннего контроля в коммерческих и правительственных организациях. Исследования в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.
При рассмотрении проблем защиты данных в сети возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных “угроз” можно выделить:
1. Сбои оборудования:
- сбои кабельной системы;
- перебои электропитания;
- сбои дисковых систем;
- сбои систем архивации данных;
- сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы оборудования:
- потеря или изменение данных при ошибках оборудования;
- потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
- несанкционированное копирование, уничтожение или
подделка информации;
|
- ознакомление с конфиденциальной информацией,
составляющей тайну, посторонних лиц;
4. Потери информации, связанные с неправильным хранением архивных данных.
5. Ошибки обслуживающего персонала и пользователей:
- случайное уничтожение или изменение данных;
-некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных;
В зависимости от возможных видов нарушений работы сети (под нарушением работы подразумевается и противоправный несанкционированный доступ) многочисленные виды защиты информации объединяются в три основных класса:
- средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.
-средства защиты от стихийных бедствий - пожаров, землетрясений, наводнений и т.д. - состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или, реже, даже в другом районе города или в другом городе.
- программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.
- административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.[26]
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.
|
Проблема защиты информации от противоправного несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.[27]
В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых ОС - корпорация Novell - в своем последнем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются специальным известным законным пользователем паролем.
Одним из удачных примеров создания комплексного решения для контроля доступа к компьютерной информации в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:
|
- База данных, содержащая информацию по всем сетевым ресурсам,
пользователям, паролям, шифровальным ключам и т.д.
- Авторизационный сервер, обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг.
Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.
- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера “пропуск”, содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий “пропуск”, передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки “пропуска” сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает “добро” на использование сетевой аппаратуры или программ.
Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.
Также разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:
- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
- контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).
Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радио сетях и технологии шифрования данных при помощи алгоритмов DES и RSA.
Сложность создания системы защиты информации определяется тем, что данные могут быть похищены преступником из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении. Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии. Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.
Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения.[28]
Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.
Практика экономически развитых стран, прежде всего США показывает, что финансовые службы компаний представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES (см. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).
Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном). Наибольший интерес и практическое применение имеет первый тип с его основными алгоритмами.
Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадрилионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.
Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов DES, технически является симметричным алгоритмом, а RSA - ассиметричным, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрованием сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.
Заключение
В связи с бурным процессом развития научно-технической революции сформировался новый вид общественных отношений - информационные. Информационные отношения стали новым объектом, а информация - новым предметом преступного посягательства. Неизбежным следствием появления новых общественных отношений стали правонарушения в сфере компьютерной информации, в том числе и в форме преступлений, которые представляют реальную угрозу для нормального развития и течения общественной жизни.
Преступления в сфере компьютерной информации можно определить как умышленные общественно опасные деяния (действие или бездействие), причиняющие вред либо создающие угрозу причинения вреда общественным отношениям, регламентирующим безопасное производственное хранение, использование или распространение информации и информационных ресурсов либо их защиту.
Уголовный Кодекс Российской Федерации установил нормы, объявляющие общественно опасными деяниями конкретные действия в сфере компьютерной информации и устанавливающие уголовную ответственность за их совершение. Такие нормы появились в российском законодательстве впервые. К уголовно-наказуемым отнесены 1)неправомерный доступ к компьютерной информации (ст. 272 УК РФ), 2) создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ) и 3) нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (ст. 274 УК РФ).
Видовым объектом преступлений в сфере компьютерной информации являются информационные отношения, т. е. отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Вышеуказанные обстоятельства выступают причиной необходимости разработки системы противодействия преступлениям в сфере компьютерной информации, одной из составляющих которой должен выступить неправомерный доступ к охраняемой законом информации. При этом степень уголовно-правовой защиты информации должна определяться её содержанием, а не свойствами носителя.
Таким образом, можно сделать вывод, что существует необходимость совершенствования уголовно-правовой защиты компьютерной информации в связи с постоянно возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации.
Библиография
Нормативные акты
1. Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 09.11.2009) (с изм. и доп., вступающими в силу с 17.11.2009)// СЗ РФ.- 1996.- № 25.- Ст. 2954.
2. Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" // СЗ РФ.- 1997.-№ 10.- Ст. 1127.
3. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (принят ГД ФС РФ 08.07.2006) // СЗ РФ.- 2006.- №31 (1 ч.)- Ст. 3448.
Литература общего содержания
4. Городов О.А. Информационное право: Учебник / О.А. Городов.- Москва: Проспект, 2008.
5. Иванов В.Д. Уголовное право: Общая часть: Учебник / В.Д. Иванов.- Ростов-на-Дону: Феникс, 2002.
6. Клепицкий, И.А. Уголовное право. Особенная часть: Учеб. пособие для вузов.- М.: ИНФРА-М, 2004.
7. Копылов В.А. Информационное право. - М.: Юристъ, 2002.
8. Крылов В.В. Современная криминалистика Правовая информатика и кибернетика - М.: Леке, 2007.
9. Лапина М.А. Информационное право: Учеб. пособие для вузов / Под ред. И.Ш. Килясханова.- М.: ЮНИТИ-Дана: Закон и право, 2004.
10. Мельниченко А.Б., С.Н. Радачинский. Уголовное право. Особенная часть.- Ростов-на-Дону, 2002.
11. Российское уголовное право. Особенная часть / Под ред. Л.В. Иногамовой-Хегай, B.C. Комиссарова, А.И. Рарога. - М.: ИНФРА-М, 2003.
12. Сверчков В.В. Уголовное право. Особенная часть: Конспект лекций. - М.: Юрайт-Издат, 2007.
Периодические издания
13. Айсанов Р. М. Общественно-опасные последствия неправомерного доступа к компьютерной информации в форме ее уничтожения: уголовно-правовой аспект // "Черные дыры" в Российском Законодательстве. - 2007.- № 3.- С. 471-472.
14. Белоус М. А. Понятие и общая характеристика преступлений в сфере компьютерной информации // "Черные дыры" в Российском Законодательстве. - 2008.- № 1.- С. 246-248.
15. Ведеев Д. Защита данных в компьютерных сетях // Открытые системы.- 2001.- № 3.- С. 12-18.
16. Галкин А.И. Компьютерная информация как объект правовой защиты // Следователь.- 2009.- №4.- С. 2-5.
17. Галкин А.И. Уголовная ответственность за преступления в сфере компьютерной информации // Следователь.- 2009.- №5.- С. 2-10.
18. Ермошин В. Г. Методы защиты конфиденциальной компьютерной информации организаций от внутренних угроз // Вопросы защиты информации. - 2009.- № 3.- С. 53.
19. Магомедов М. Д. Некоторые проблемы преступности в сфере компьютерной информации // "Черные дыры" в Российском Законодательстве. - 2009.- № 1.- С. 150-151.
20. Саломатина С. Перспективы развития законодательства в сфере борьбы с кибертерроризмом. // Закон и право.- 2009.- №1.- С. 47-48.
21. Сизов А. В. Квалификация нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети // Информационное право. - 2007.- № 4.- С. 27.
22. Сизов А.В. Причины и условия совершения преступлений в сфере компьютерной информации // Информационное право.- 2008.- № 2.- С. 38-41.
23. Талимончик В.П. Информационная безопасность в контексте всеобъемлющей системы международной безопасности // Правоведение.- 2008.- №2.- С. 103-110.
24. Хилюта В. «Компьютерные хищения» // Законность.- 2009.- №1.- С. 36-38.
25. Ястребов Д. А. Вопросы отграничения неправомерного доступа к компьютерной информации от смежных составов преступлений // Российский следователь.- 2008.- №17.- С. 25.
26. Ястребов Д.А. Причины роста компьютерной преступности // Человек и закон.- 2008.- №8.- С. 122-126.
Интернет-ресурсы
27. Васильев В.А. Проблемы развития законодательства в сфере борьбы с киберпреступностью: crime-research.ru
28. Карелина М.М. Преступления в сфере компьютерной информации // https://www.relcom.ru/ ComputerLaw /New_code.htm
[1] Хилюта В. «Компьютерные хищения» // Законность.- 2009.- №1.- С. 36-38.
[2] Васильев В.А. Проблемы развития законодательства в сфере борьбы с киберпреступностью: crime-research.ru
[3] Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 09.11.2009) (с изм. и доп., вступающими в силу с 17.11.2009)// СЗ РФ.- 1996.- № 25.- Ст. 2954.
[4] Галкин А.И. Компьютерная информация как объект правовой защиты // Следователь.- 2009.- №4.- С. 2-5.
[5] Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (принят ГД ФС РФ 08.07.2006) // СЗ РФ.- 2006.- №31 (1 ч.)- Ст. 3448.
[6] Лапина М.А. Информационное право: Учеб. пособие для вузов / Под ред. И.Ш. Килясханова.- М.: ЮНИТИ-Дана: Закон и право, 2004.- С. 113-117.
[7] Карелина М.М. Преступления в сфере компьютерной информации // https://www.relcom.ru/ ComputerLaw /New_code.htm
[8] Крылов В.В. Современная криминалистика Правовая информатика и кибернетика - М.: Леке, 2007. - С. 205-207.
[9] Копылов В.А. Информационное право. - М.: Юристъ, 2002г.- С. 40-43.
[10] Талимончик В.П. Информационная безопасность в контексте всеобъемлющей системы международной безопасности // Правоведение.- 2008.- №2.- С. 103-110.
[11] Городов О.А. Информационное право: Учебник / О.А. Городов.- Москва: Проспект, 2008.- С. 69-70.
[12] Магомедов М. Д. Некоторые проблемы преступности в сфере компьютерной информации // "Черные дыры" в Российском Законодательстве. - 2009.- № 1.- С. 150-151.
[13]Саломатина С. Перспективы развития законодательства в сфере борьбы с кибертерроризмом. // Закон и право.- 2009.- №1.- С. 47-48.
[14] Сверчков В.В. Уголовное право. Особенная часть: Конспект лекций. - М.: Юрайт-Издат, 2007. - С. 232-237.
[15] Сизов А.В. Причины и условия совершения преступлений в сфере компьютерной информации // Информационное право.- 2008.- № 2.- С. 38-41.
[16] Белоус М. А. Понятие и общая характеристика преступлений в сфере компьютерной информации // "Черные дыры" в Российском Законодательстве. - 2008.- № 1.- С. 246-248.
[17] Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" // СЗ РФ.- 1997.-№ 10.- Ст. 1127.
[18] Российское уголовное право. Особенная часть / Под ред. Л.В. Иногамовой-Хегай, B.C. Комиссарова, А.И. Рарога. - М.: ИНФРА-М, 2003. - С. 568-572.
[19] Клепицкий, И.А. Уголовное право. Особенная часть: Учеб. пособие для вузов.- М.: ИНФРА-М, 2004.- С. 152-154.
[20] Галкин А.И. Уголовная ответственность за преступления в сфере компьютерной информации // Следователь.- 2009.- №5.- С. 2-10.
[21] Айсанов Р. М. Общественно-опасные последствия неправомерного доступа к компьютерной информации в форме ее уничтожения: уголовно-правовой аспект // "Черные дыры" в Российском Законодательстве. - 2007.- № 3.- С. 471-472.
[22] Ястребов Д. А. Вопросы отграничения неправомерного доступа к компьютерной информации от смежных составов преступлений // Российский следователь.- 2008.- №17.- С. 25.
[23] Ястребов Д.А. Причины роста компьютерной преступности // Человек и закон.- 2008.- №8.- С. 122-126.
[24] Сизов А. В. Квалификация нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети // Информационное право. - 2007.- № 4.- С. 27.
[25] Иванов, В.Д. Уголовное право: Общая часть: Учебник / В.Д. Иванов.- Ростов-на-Дону: Феникс, 2002.- С. 191-193.
[26]Ведеев Д. Защита данных в компьютерных сетях // Открытые системы.- 2001.- № 3.- С. 12-18.
[27] Ермошин В. Г. Методы защиты конфиденциальной компьютерной информации организаций от внутренних угроз // Вопросы защиты информации. - 2009.- № 3.- С. 53.
[28] Мельниченко А.Б., С.Н. Радачинский. Уголовное право. Особенная часть. Ростов-на-Дону, 2002г, С. 298-300.