Безопасность ИТ

ВВЕДЕНИЕ 
 

Термин    "безопасность    информационных    технологий"     понимается

специалистами по-разному, причем чаще всего имеется  в  виду  какой-то  один

аспект этой проблемы. Например,  с  точки  зрения  производителя  источников

бесперебойного  питания  серьезную   угрозу   для   вычислительной   системы

представляет   нестабильность   энергосети,   а   с   позиции   разработчика

антивирусных  программ - риск уничтожения бесценных  данных.  Каждый  из  этих

аспектов, безусловно, заслуживает отдельного изучения,  но  для потребителя

важно обеспечить безопасность вообще, а не только по отдельным рискам.

Перед потребителем стоят конкретные задачи - наладить  производственный

процесс, бухгалтерский  или складской учет, управление финансами  и  кадрами,

т.е. обеспечить бизнес-процесс. И если какая-либо реализация  информационных

технологий  (некая  совокупность  вычислительных  систем,   средств   связи,

специализированного оборудования, программ  и  т.п.)  позволяет  решить  эту

задачу оптимальным  способом,  потребитель тратит  время и деньги  на  ее

внедрение. Но доверив  бизнес-процесс информационной системе, он  попадает  в прямую зависимость  от ее работоспособности. Эта зависимость  критична  ровно настолько, насколько  критичен  для  фирмы  соответствующий  бизнес-процесс. Другими словами, если по любой причине оказалась неработоспособной  система, отвечающая  за  ключевой  бизнес-процесс,   то   это   ставит   под   угрозу существование всего предприятия. И для потребителя  безопасность  внедряемых информационных технологий  -  это  проблема,  связанная  с  обеспечением  их правильного и бесперебойного функционирования. 

1. ТЕХНИЧЕСКИЕ  СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

ИНФОРМАЦИОННЫХ  ТЕХНОЛОГИЙ 

Представления потребителя о безопасности  информационных  технологий  в

конечном счете  сводятся  в  основном  к  допустимому  (с  позиции  бизнеса)

времени  простоя   информационной   системы,   а   точнее   к   времени   ее

восстановления. При этом ему  приходится  учитывать  все  возможные  причины сбоев. В результате, явно или неявно, расходы предприятий на  информационные технологии всегда включают и расходы на обеспечение их безопасности.

Рассмотрим (в  самых общих чертах) средства, которые  можно применять  по

отдельности или  в сочетаниях:    "горячее" дублирование  системы  (полное  либо  ключевых  компонентов). Например, два идентичных вычислительных  комплекса  (основной  и  "дубль"  ) соединены высокоскоростной линией связи и работают синхронно. Если  внезапно останавливается основной, то выполнение задачи  мгновенно  переключается  на дубль;    "холодное"  резервирование  и  поддержание  склада  запасных  частей  и устройств.  Время  восстановления   исчисляется   минутами   -   на   замену неработоспособных компонентов и перезапуск системы; аварийные сервисы различных масштабов (гарантийный и  послегарантийный, обычный и расширенный, например с предоставлением замены на время  ремонта). Могут приобретаться как " в комплекте" с оборудованием и другими услугами  у одного поставщика, так и отдельно у третьей стороны; применение оборудования с  повышенной  отказоустойчивостью,  источников бесперебойного питания, специализированных систем диагностики и контроля; применение специализированных программных и/или аппаратных средств  для защиты от хакерских атак; подписка на антивирусное  обслуживание,  в  том  числе  и  с  аварийным выездом специалистов;"горячие  линии"  поддержки   (телефонные   и   через   Интернет)   для оборудования и программного обеспечения. Следует отметить, что применяемые в каждом конкретном  случае  средства (и соответствующие  расходы)  адекватны  риску:  чем  больше  предполагаемые

потери предприятия  от простоя  той  или  иной  информационной  системы, тем дороже обходятся превентивные меры безопасности. 
 
 

2. КРИМИНОГЕННЫЕ  АСПЕКТЫ ГЛОБАЛЬНОЙ СЕТИ ИНТЕРНЕТ 

Роль и значение Интернета в сегодняшней жизни  очень велики. Постепенно

развиваясь, Интернет перестал быть только средством обмена информацией, а

приобрел многофункциональность.

Однако необходимо признать, что Интернет находится  в настоящее время  в

какой-то мере вне  законодательного регулирования и  контроля осударственных

органов,  что  порождает  различные  правонарушения   и   преступления   под

действием нескольких факторов, которые существенно влияют  на криминогенную обстановку, сложившуюся вокруг Интернета.

1. Возможность  мошенничества  при  заключении  сделок  через  Интернет,

возможность хищения  из виртуальных магазинов, а также  создания  виртуальных финансовых пирамид.

2. Возможность  совершения  сделок  и  операций,  скрытых  от  налоговых

органов.

3.  Возможность   нарушения  авторских  и   патентных   прав,   а   также

использования   различных   информационных    баз    правоохранительных    и

контролирующих  органов.

4. Возможность  совершения преступлений в сфере  компьютерной  информации (ст.272 УК РФ - неправомерный доступ к компьютерной  информации;  ст.273  УК РФ - создание, использование  и  распространение  вредоносных  программ  для ЭВМ, ст.274 УК РФ - нарушение правил эксплуатации ЭВМ, системы  ЭВМ  или  их сети). Рассмотрим данные факторы подробнее.

1.  Многие  на  Западе  рассматривают   в  настоящее  время  переход   к

электронной коммерции  как вопрос жизни и смерти  компаний  и  корпораций.  С  помощью Интернета некоторые  зарубежные компании существенно повысили  объемы продаж своей продукции, а те, кто  пренебрег  всемирной  сетью,  значительно отстал от конкурентов и им ничего не остается, как  просто  копировать  опыт своих более удачливых коллег.

Метод  прямых  продаж  через  Интернет  позволяет  существенно  снизить

стоимость продукции, так как отпадает  нужда  в  аренде  торговых  площадей,

приобретении  торгового оборудования, выплаты  заработной  платы  продавцам  и иному персоналу.

Торговля через  Интернет существенно упрощает жизнь  и покупателю. Больше нет необходимости ездить по различным магазинам и ярмаркам в поисках  места, где искомый товар стоит дешевле.  Стоит  лишь  провести  несколько  минут  у экрана  компьютера,  и  все  цены  виртуальных  магазинов  возникают   перед покупателем на мониторе.

К тому же  Интернет  позволяет  производителям  продавать  свои  товары

потребителям   напрямую,   и   отпадает   необходимость   в   многочисленных

посредниках и  перекупщиках.

Электронная торговля быстро развивается. В российской сети каждый  день

появляются  200  новых  сайтов  с  различными  предложениями.  По прогнозам

специалистов, общий  объем рынка Интернет-рекламы  достигнет  к  2003  году  в  России 150 млн долл.

Однако Интернет может быть  источником  опасности.  Компьютер  занимает большое место  в реальном мире, очень многое находится под  его  управлением. Электронной коммерцией охвачены средний и большой бизнес. Главной  проблемой электронной коммерции для  юридических  лиц  является  отсутствие  в  законе системы доказательств, принимаемых и применяемых  в  судебной  практике  при рассмотрении  споров.  Особая  проблема  - пределение  места   совершенной сделки. А ведь  от  этого  зависят  и  подсудность,  и  способы,  и  размеры налогообложения.

Нынешний уровень  законодательной базы не позволяет  эффективно  решать, когда возникает в этом необходимость, вопросы  о  месте  совершения  сделки, месте  разрешения  спора.  Отсутствует  ясность,   что   делать,   если   по заключенному контракту  будет  осуществлена  оплата  продукции  и  не  будет начата ее отгрузка...

...При  рассмотрении  споров,  связанных  с   электронной   коммерцией,

серьезной помехой  является  то,  что  законодательно  не  определена  единая

система принимаемых  доказательств.  Такие  споры  рассматривает  в  основном арбитражный  суд. Как показывает практика,  в  исковых  требованиях  признать электронную сделку недействительной доказательствами  служат  электронные  и письменные документы, Web-страница, заключение экспертизы".

Специалисты  в  области  правового  регулирования  сделок  в  Интернете

отмечают опасность, с которой может столкнуться  каждый  при  совершении  тех  или иных сделок. Естественно, что  обширные  возможности  сети  не  могут  не привлекать  тех,  кто  отдает  предпочтение  незаконным   формам получения прибыли.

Так, в декабре  сотрудники милиции  по  информации  службы  безопасности

интернет-холдинга eHouse задержали гражданина, который  с помощью  нескольких похищенных за рубежом кредитных карт совершил  хищения  из  магазина  Bolero посредством  карточки платежной системы WebMoney: сделал около 30 заказов на общую сумму более 15 тыс.долл.  Подозрение  у менеджеров  магазина  вызвало большое количество заказов, поступивших от  одного  человека,  за  короткий промежуток времени. При первых же фактах,  которые подтвердили подозрения, служба    безопасности    интернет-холдинга    передала     информацию в правоохранительные органы.

Проблема   безопасности   интернет-платежей   является   основной   для

виртуальных магазинов. Ведь данные  специальных  карт,  предназначенных  для оплаты покупок в Интернете, подчас становятся добычей мошенников. Иногда  их воруют прямо из баз данных магазинов.  А  некоторые  преступники  специально "открывают" виртуальные магазины, реально  ничем  не  торгующие,  для  сбора информации  о  картах,  предназначенных  для  безналичных   платежей   через Интернет. Поэтому для России  основным  способом  платежей  остается  оплата товара наличными курьеру в момент доставки.

В августе 2000 года  сотрудники  столичных  правоохранительных  органов

задержали с поличным двух граждан 19 и 27  лет,  занимавшихся  воровством  в российской  части сети   Интернет   реквизитов   пользователей   карт   для

безналичных платежей через  Интернет  с  целью  их  дальнейшей перепродажи.

Хакеры заманивали пользователей  сети  на  свой  сайт,  предлагая различную

интересную информацию. При посещении  сайта  мошенников  пароли  считывались вирусом " Троянский конь" и продавались  затем  с  электронного  аукциона  по демпинговым ценам (по 15 долл., в  то  время  как  официальная  цена  паролей почти в 3  раза  выше).  По  приблизительным подсчетам пользователям был нанесен совокупный ущерб в сумме более 20 тыс. долл.

Ответственность за совершение данного преступления предусмотрена ст.159

УК РФ. Мошенничество - это хищение чужого имущества или  приобретение  права на чужое имущество путем обмана или злоупотребления доверием.  Под  хищением понимаются  совершенные  с  корыстной  целью  противоправные   безвозмездное изъятие и (или) обращение чужого имущества в  пользу  виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.

В соответствии с ч.1 ст.159 УК РФ за  совершение  данного  преступления

может наступить  ответственность в виде штрафа в  размере от 200 до  700  МРОТ или  в размере заработной платы или иного дохода осужденного за период  от  2 до 7 месяцев, либо обязательных работ на срок от  180  до  240  часов,  либо исправительных работ на срок от 1 года до 2 лет, либо ареста на  срок  от  4 до 6 месяцев, либо лишения свободы на срок до 3 лет.

Мошенничество является формой хищения, поэтому ему  присущи все признаки этого  понятия.  При  мошенничестве  способом  завладения  чужим  имуществом является  обман  или  злоупотребление  доверием.  При   совершении   данного  преступления  потерпевшая  сторона  сама  передает  имущество   преступнику, полагая, что последний имеет право на его получение. При этом  именно  обман или злоупотребление доверием  побуждает  собственника  или  иного  законного владельца передать преступнику имущество или имущественное право.