Во-вторых, за последнее время не отмечено практически ни одного компьютерного преступления, которое было бы совершено одиночкой. Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову вычислительной техники, с тем, чтобы они осуществляли хищение крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.

В-третьих, большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков.

В-четвертых, все большее число компьютерных преступлений совершается в России с использованием возможностей, которые предоставляет своим пользователям глобальная компьютерная сеть Internet.

Таким образом, проблемы ответственности за преступления в сфере компьютерной информации порождены научно-техническим прогрессом, который и создал основу для возникновения отношений в области использования электронно-вычислительной техники.

Следует отметить, что «В современном мире информация уже давно приобрела товарный характер и выступает в качестве особого объекта договорных отношений, связанных с ее сбором, хранением, поиском, переработкой, распространением и использованием в различных сферах человеческой деятельности». Гражданское право. Часть I. Учебник. Под ред. Ю.К. Толстого, А.П. Сергеева. - М.: «Издательство ТЕИС» 1996. С. 190.

Существует довольно много критериев классификации информации.

В 1991 году была предложена следующая классификация коммерческой информации, которую можно «условно разделить на два укрупненных блока:

-- научно-техническая, технологическая информация;

-- деловая информация.

Каждый из них имеет свои разновидности.

Научно-техническая, технологическая информация включает:

-- сведения о конструкции машин и оборудования (в том числе схемы и чертежи отдельных узлов, изделий), используемых материалах, их составах (химических и т.п.), методах и способах производства, дизайне и другие сведения о вновь разрабатываемых или производимых изделиях, технологиях, о путях и направлениях модернизации известных технологий, процессов и оборудования;

-- программное обеспечение для ЭВМ и др.

Деловая информация включает:

-- сведения о финансовой стороне деятельности предприятия (финансовая отчетность, состояние расчетов с клиентами, задолженность, кредиты, платежеспособность), о размере прибыли, себестоимости производимой продукции и др.;

-- стратегические и тактические планы развития производства, в том числе с применением новых технологий, изобретений, ноу-хау и т.п.;

-- планы и объемы реализации произведений продукции (планы маркетинга, данные о характере и объемах торговых операций, уровнях предельных цен, наличии товаров на складах и т.п.);

-- анализ конкурентоспособности производимой продукции, эффективности экспорта и импорта, предполагаемое время выхода на рынок;

-- планы рекламной деятельности;

-- списки торговых и других клиентов, представителей, посредников, конкурентов; сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих контрактов и др.)». Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: «Научно-информационная внедренческая фирма «ЮКИС» , 1991. С. 34.

Из-вестно большое количество разноплановых угроз безопасности информа-ции различного происхождения. В качестве критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации (см. Приложение №?1).

Немаловажную роль играет политика информационной политики безопасности.

Политика информационной безопасности (ПИБ) - совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проек-тные решения в области защиты информации. На основе ПИБ строится управление, защита и рас-пределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Для конкретной информационной системы политика безопасности долж-на быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д. При разработке и проведении политики безопасности в жизнь целесообразно соблюдать следующие прин-ципы:

1) невозможность миновать защитные средства (все информационные потоки в за-щищаемую сеть и из нее должны проходить через систему защиты информации (СЗИ). Не должно быть «тайных» модемных входов или тес-товых линий, идущих в обход экрана);

2) усиление самого слабого звена (надежность любой СЗИ определяется самым сла-бым звеном. Часто таким звеном оказывается не ком-пьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобре-тает нетехнический характер );

3) недопустимость перехода в открытое состояние (при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ);

4) минимизация привилегий (предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполне-ния служебных обязанностей);

5) разделение обязанностей (предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это имеет особое значение для предотвращения злонамеренных или неквали-фицированных действий системного администратора);

6) многоуровневая защита (предписывает не полагаться на один защитный рубеж, каким бы надеж-ным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирова-ние и аудит. Эшелонированная оборона способна по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, суще-ственно затрудняет незаметное выполнение злоумыш-ленных действий);

7) разнообразие защитных средств (рекомен-дует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального зло-умышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой на-выками преодоления СЗИ);

8) Принцип простоты и управляемости информацион-ной системы в целом и СЗИ в особенности определяет возможность формального или неформального дока-зательства корректности реализации механизмов защи-ты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное админи-стрирование;

9) обеспечение всеобщей поддержки мер безопасно-сти (носит нетехнический характер. Рекомендуется с само-го начала предусмотреть комплекс мер, направленных на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое).

Основу политики безопасности составляет способ уп-равления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название это-го способа, как правило, определяет название полити-ки безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная (мандатная), основанные соответственно на избирательном и пол-номочном способах управления доступом (см. приложение №2).

Избирательное управление доступом - метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит. Мандатное управление доступом - концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности. Кроме того, существует набор требований, усили-вающий действие этих политик и предназначенный для управления информационными потоками в системе.

Следует отметить, что средства защиты, предназна-ченные для реализации какого-либо из названных спо-собов управления доступом, только предоставляют воз-можности надежного управления доступом или информационными потоками. Определение прав дос-тупа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компе-тенцию администрации системы.

2. ВИДЫ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

2.1. Неправомерный доступ к компьютерной информации

Неправомерный доступ к компьютерной информации представляет собой наиболее распространенный тип преступлений в сфере компьютерной информации. Кроме того, является достаточно опасным преступлением, которое приобретает все более угрожающие масштабы. В связи с всеобщей компьютеризацией, сети Internet информация стала доступной практически всем пользователям персональных компьютеров. Данный вид преступления затрагивает интересы всего международного сообщества, причиняет вред и государствам, и народам, и конкретным людям. Поэтому, не случайно данная статья открывает 28 главу Уголовного Кодекса.

Особенность данной статьи состоит в том, предусматривается ответственность за неправомерный доступ к информации, лишь, если она запечатлена на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Из этого можно сделать вывод, что посягательство на информацию, которая предназначена для формирования компьютерной информации, но не была еще перенесена на машинный носитель, не является преступлением.

Объектом неправомерного доступа к компьютерной информации как преступления являются права на информацию ее владельца и третьих лиц, а также безопасность компьютерной информации, правильная работа электронно-вычислительных машин.

С объективной стороны преступление выражается в неправомерном

доступе к охраняемой законом компьютерной информации, хранящейся на машинном носителе или в электронно-вычислительной машине повлекшем уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Под машинными носителями стоит понимать средства хранения информации, позволяющие воспроизводить ее в ЭВМ (магнитные ленты, магнитные диски, магнитные барабаны, полупроводниковые схемы и др., классифицирующиеся по физическим и конструктивным особенностям).

Под доступом к компьютерной информации подразумевается всякая форма проникновения к ней с использованием средств (вещественных и интеллектуальных) электронно-вычислительной техники, позволяющая манипулировать информацией (уничтожать ее, блокировать, модифицировать, копировать). Уголовное право России: Учебник для вузов. Т. 2 Особенная часть. Под ред. А. Н. Игнатова и Ю. А. Красикова. -- М.: Издательство НОРМА (Издательская группа НОРМА-ИНФРА М), 2000.

В тоже время не образует объективной стороны данного преступления уничтожение или искажение компьютерной информации путем внешнего воздействия на машинные носители теплом, магнитными волнами, механическими ударами и другими аналогичными методами.

Доступ к компьютерной информации считается неправомерным в том случае, если лицо не имеет право на доступ к данной информации. Либо лицо имеет право на доступ к данной информации, однако осуществляет его помимо установленного порядка, с нарушением правил ее защиты.

Преступное деяние, влекущее ответственность, может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств позволяющих преодолеть установленные системы защиты; незаконного применения действующих паролей или маскировка под видом законного пользователя для проникновения в компьютер, хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации; использование чужого имени (пароля). Содержание предпринимаемых действий состоит в получении и реализации возможности распоряжаться информацией по своему усмотрению без права на это.

Из вышеизложенного можно сделать вывод, что неправомерный доступ- это сложное понятие, которое включает в себя такие действия как:

1) «физическое» проникновение, дающее возможность по своему усмотрению оперировать данным объемом компьютерной информации;

2) несанкционированные операции с компьютерной информацией.

Состав по конструкции материальный. Для квалификации деяния по данной статье как оконченного, необходимо наступления хотя бы одного из последствий указанных в исчерпывающем перечне, который дается в части первой статьи, а именно: уничтожение, блокирование, модификацию, копирование информации либо нарушение работы ЭВМ, системы ЭВМ или их сети.

Страницы: 1, 2, 3, 4