Основы защиты информации и компьютерная преступность

Действующее российское уголовное законодательство, достаточно подробно регламентируя ответственность  и наказуемость деяний в рассматриваемой  сфере, позволяет прийти к следующим  основным выводам:

1. Закрепленные в ст. 272-274 УК РФ нормы не охватывают всего спектра общественно опасных деяний, условно называемых в научных источниках компьютерными преступлениями.

11

Так, умышленные деяния, направленные на нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети именно с целью причинения тяжких последствий, не охватываются содержанием ст. 274 УК РФ. Представляется, что такое деяние также можно отнести к категории компьютерных преступлений.

2. Компьютерными называют  также те преступления, в которых  компьютер рассматривается как  техническое средство совершения преступления, а не просто орудие преступление.

3. Нельзя также признать  правильным причисление к категории  компьютерных преступлений всех  случаев, когда компьютер является  предметом посягательства. В описанных  составах, предусмотренных ст. 272-274 УК РФ, компьютер как предмет посягательства может расцениваться лишь с определенной долей условности. Условность заключается в том, что он рассматривается в этом случае не просто как предмет материального мира, а как совокупность информационных и аппаратных структур. Предметом же преступления в уголовном праве признается вещь (предмет объективного материального мира), по поводу которой совершается преступление. Предмет преступления следует отличать от орудий и средств совершения преступления. Компьютер как техническое средство совершения преступления рассматривается в ряду с такими средствами, как оружие, транспортное средство, любое техническое приспособление. В этом смысле его использование имеет прикладное значение, например, для хищения, сокрытия налогов и т.д.

Таким образом, в компьютерных преступлениях практически невозможно выделить единый объект преступного  посягательства. Налицо также множественность  предметов преступных посягательств  с точки зрения их уголовно-правовой охраны.

12

 Представляется, что  к рассматриваемой категории преступлений могут быть отнесены только противозаконные действия в сфере автоматизированной обработки информации. Иными словами, объектом посягательства является информация, обрабатываемая в компьютерной системе, а компьютер служит орудием посягательства.

Выводы, результаты исследования:

Проведенное в настоящей  работе исследование российского уголовного законодательства в сфере компьютерной информации, раскрытие понятия, состава  преступлений в сфере компьютерной информации, рассмотрение отдельных видов компьютерных преступлений и способов защиты компьютерной информации от преступных посягательств позволяет сделать следующие выводы:

1) В настоящее время  в нашей стране накоплена богатая  научно-теоретическая база, которая  свидетельствует о складывающемся устойчивом правовом механизме, нацеленным на защиту компьютерной информации. В 1992 году был принят Закон России о правовой охране программ для электронно-вычислительных машин и баз данных, в 1994 году - Гражданский кодекс, который содержит ряд норм, связанных с компьютерной информацией, в 1995 году - Федеральный закон об информации, информатизации и защите информации. Логическим развитием правовой системы, создающей условия безопасности компьютерной информации, стала разработка в УК РФ 1996 года группы статей, предусматривающих основания уголовной ответственности за так называемые компьютерные преступления.

 

 

13

2) Однако, в действующем  российском законодательстве пока  еще нет четкого представления  о правовом механизме защиты  компьютерной информации как  целостной разработанной правовой  системы. 

Компьютерная преступность не знает границ, она выходит за пределы российской действительности. Это международное понятие и бороться с ней надо согласованно и сообща. С внедрением в человеческую жизнь новых компьютерных технологий, когда обмен информацией стал быстрым, дешевым и эффективным, преступность в информационной сфере переросла за рамки тех уголовно-правовых норм, направленных для борьбы с ней. Компьютерные преступления условно можно подразделить на две большие категории - преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.

3) Проблемы информационной  безопасности постоянно усугубляется  процессами незаконного несанкционированного  проникновения практически во  все сферы деятельности общества  технических средств обработки  и передачи данных и прежде всего компьютерных вычислительных систем. Не случайно поэтому защита компьютерной информации становится одной из самых острых проблем в современной информатике.

 

 

 

 

 

14

3 . Направления защиты информации.

С учетом сложившейся  практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

            1. Правовая защита - это специальные  законы, другие нормативные акты, правила, процедуры и мероприятия,  обеспечивающие защиту информации на правовой основе;

            2. Организационная защита - это регламентация  деятельности и взаимоотношений и исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

            3. Инженерно-техническая защита - это  совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

       Для  реализации защиты информации  создается система безопасности.

       Под  Системой безопасности будем  понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз.       В рамках системы безопасности присутствует система защиты информации. 

     Система  защиты информации (СЗИ) – это  организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

15

4. Защита данных в компьютерных сетях.

При рассмотрении проблем  защиты данных в сети, прежде всего, возникает вопрос о классификации  сбоев и нарушений, прав доступа, которые могут привести к уничтожению  или нежелательной модификации данных. Среди таких потенциальных "угроз" можно выделить:

• сбои оборудования:
• сбои кабельной системы;
• перебои электропитания;
• сбои дисковых систем;
• сбои систем архивации данных;
• сбои работы серверов, рабочих станций, сетевых карт и т. д.;

потери информации из-за некорректной работы ПО:

• потеря или изменение данных при ошибках ПО;
• потери при заражении системы компьютерными вирусами;
• потери, связанные с несанкционированным доступом:
• несанкционированное копирование, уничтожение или подделка информации;
• ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;
• потери информации, связанные с неправильным хранением архивных данных;

 ошибки обслуживающего  персонала и пользователей: 

• случайное уничтожение или изменение данных;

16

• некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

В зависимости от возможных  видов нарушений работы сети (под  нарушением работы я также понимаю  и несанкционированный доступ) многочисленные виды защиты информации объединяются в три основных класса:

· средства физической защиты, включающие средства защиты кабельной  системы, систем электропитания, средства архивации, дисковые массивы и т. д.;

· программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа;

· административные меры защиты, включающие контроль доступа  в помещения, разработку стратегии  безопасности фирмы, планов действий в  чрезвычайных ситуациях и т. д.

Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т. д.

Сложность создания системы  защиты информации определяется тем, что  данные могут быть похищены из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается  в обладании ими, а не в уничтожении или изменении.

17

Обеспечение безопасности информации - дорогое дело, и не столько  из-за затрат на закупку или установку  средств, сколько из-за того, что  трудно квалифицированно определить границы  разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

Средства защиты информации нельзя проектировать, покупать или  устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную  оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент-сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным, и их искажения.

 

 

 

 

 

 

18

Заключение

 

Из рассмотренного становится, очевидно, что обеспечение  информационной безопасности является комплексной задачей. Это обусловлено  тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие  компоненты, как электронное оборудование, программное обеспечение, персонал.

 

Для решения проблемы обеспечения  информационной безопасности необходимо применение законодательных, организационных  и программно-технических мер. Пренебрежение  хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

 

А так же хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях.

 

В то же время свести риск потерь к минимуму возможно лишь при  комплексном подходе к вопросам безопасности.