Законодательные проблемы защиты информации Характеризуя общее позитивное социально-информационное направление воздействия информатизации управления на деятельность органов внутренних дел, нужно отметить и определенную диалектичность этого процесса. Информатизация управления порождает сложные проблемы в области правоохранительной деятельности. Они обусловлены тем, что использование вычислительной техники в управлении может в отдельных случаях повлечь за собой непредвиденные, а порой и нежелательные, последствия: ведь при усложнении задач управления усиливаются социально опасные последствия необоснованных или неправомерных решений. Как свидетельствует зарубежная и отечественная практика, возможны следующие негативные последствия информатизации: использования ЭВМ в целях хищения денежно-материальных ценностей, злоупотребления информацией в отношении отдельных граждан и т.д. При решении правовых вопросов, которые возникают в связи с применением новых технических систем сбора и обработки информации о личности нельзя игнорировать возможность нарушений законных прав и интересов граждан в силу недобросовестного поведения работников таких систем, скажем, при несанкционированном использовании информации (неправомочным должностным лицом или посторонним) или ее умышленном искажении. Назрел, на наш взгляд, и вопрос о процедуре обжалования действий должностных лиц с информацией, совершенных с нарушением закона. Данное предложение учитывает тот весьма важный в социально-политическом отношении факт, что процесс совершенствования демократии включает дальнейшее развитие системы гарантий прав личности от возможных злоупотреблений со стороны должностных лиц. Тем более, что в области охраны информации о личности еще имеется ряд пробелов*. В частности известно, что в ряде случаев собираются данные, фиксация которых не предусмотрена действующим законодательством**. Разумеется, тенденция к расширению числа видов информации о личности, накапливаемых банками данных, носит обьективный характер, обусловлена возрастанием роли информации в решении масштабных производственных и социально-культурных задач. Однако, представляется очевидным, что, во-первых, перечень собираемых данных должен быть ограничен лишь наиболее необходимыми сведениями, во-вторых, наличием реальной возможности нанесения вреда законным интересам граждан, о которых информация собирается, должно исключать сбор такой информации. Можно предложить ряд иных ограничений, которые могут быть установлены в отношении сбора, хранения и использования информации о личности: 1) информация должна собираться и использоваться только для определенных, заранее установленных целей, иное использование можно лишь с разрешения компетентного органа; 2) обьем накаплива__________________________ *Подробнее см.: Права граждан и АСУ. Рига, 1984. С.84 и далее. **Подробно см.: Венгеров А.Б. Законодательные проблемы охраны личной жизни советских граждан в условиях автоматизации управления // Проблемы совершенствования советского законодательства _________________________ емых данных должен соответствовать целям их сбора; 3) граждане должны информироваться о том, какие данные о них хранятся; 4) должна существовать возможность доступа граждан к хранимым о них данным, а также процедура опротестования неточных записей заинтересованными лицами; 5) пользователи могут получать информацию лишь в рамках тех должностных или общественных функций, которые они выполняют; 6) период хранения информации, а в ряде случаев и время ее использования должно быть ограничено заранее установленным сроком; 7) в банках данных должны существовать технические возможности разделения идентифицирующих признаков от остальных данных, должны применяться средства защиты информации от несанкционированного доступа, намеренного или неумышленного искажения. Необходимо определить, с одной стороны, круг сведений о личности, которые не должны собираться, и, с другой стороны, ввести запрет на использование в ряде случаев накопленных сведений. Так, уже сегодня в составе ряда территориальных АСУ созданы подсистемы "Кадры", "Население", "Трудовые ресурсы"* и т.д., в рамках которых накапливаются сведения о личности: фамилия, имя, отчество; дата и место рождения; пол; национальность, социальная категория; семейное положение, трудоспособность, отношение к военной службе, образование, дата окончания учебного заведения, специальность, место работы, профессия, должность, вид производственной деятельности, вид и форма оплаты труда, квалификационный разряд, ученая степень, ученое ___________________________ *Cм.: Веронов Б.В., Коваленко В.А., Пархоменко В.И., Сентереев В.А. Организация работы органов внутренних дел при внедрении АСУ трудовыми ресурсами промышленного центра. Хабаровск, 1987. С.69. ___________________________ звание, место и дата выдачи паспорта, домашний адрес, дата прописки (выписка, откуда прибыл и куда выбыл) и т.д. Появление крупных электронных информационных систем, накапливающих огромные массивы сведений такого рода, позволяет достаточно конкретно создавать образ человека и разрабатывать соответствующую систему контроля за ним. И не только за отдельным человеком, но и за целой группой людей. В результате, ставится под сомнение общепринятый принцип "презумпции невиновности", так как человек, за которым ведется наблюдение, незаконно без его ведома ставится в положение подозреваемого или даже обвиняемого. Кроме того, раньше сведения о гражданах подлежали неразглашению под углом зрения отдельного индивидуума. Теперь же, с развитием электронной технологии, следует рассматривать человека как часть определенной группы, которая сама заинтересована в том, чтобы знать, как общество использует накопленные о ней сведения. Следовательно, этот аспект функционирования электронной информатики должен быть отражен в законодательстве, а сведения - соответственно защищены. Создание автоматизированных банков данных, сосредотачивающих информацию о личности граждан, обьективно связано с дальнейшим расширением гарантий в области охраны прав. Следует установить особый правовой режим пользования такой информацией, ее своевременное изменение и обновление, недопустимость ее разглашения и т.д. Контроль за соблюдением таких норм, задачи охраны личной информации от искажений и незаконного использования следовало бы возложить на специально созданные государственные органы, работающие под руководством комиссий народных депутатов по вопросам прав человека. Видимо потребуется принятие законодательного акта, который специально был бы посвящен вопросам защиты информации о личности, в том числе в условиях применения новых средств сбора и обработки информации. Таким актом мог бы стать Информационный кодекс, в котором, как обоснованно указано в научной литературе, целесообразно урегулировать следующий круг вопросов: 1) установить структуру законодательства информации, очертить круг регулируемых общественных отношений, ввести отраслевую аксиоматику и дефиниции; 2) определить круг лиц и их правосубьектность; 3) установить порядок государственного управления, планирования и отчетности в сфере информатики; 4) регламентировать процессы управления качеством машинной информации, вычислительных систем и выполнения информационно-вычислительных услуг; 5) ввести структуру финансирования и ценообразования; 6) установить структуру субьективных прав, основание их возникновения, изменения и прекращения, включая институт обязательного права; 7) сформировать правоотношения по обеспечению исполнения законодательства информатики, включая введение мер ответственности и процессуальный порядок производства; 8) урегулировать применение законодательства информатики иностранных государств и международных договоров*. Представляется, что принятие подобного акта в форме кодекса позволило бы обеспечить достаточную полноту охвата регулируемых им вопросов. Кроме того, такой уровень законодательного акта соответствовал бы в наибольшей мере его значению, как средство реализации конституционных прав и свобод граждан. _____________________________ *См.: Карась И.З. Правовое регулирование общественных отношений в сфере информатики // Сов.госуд. и право. 1987. N 3. С.29. ______________________________ В плане взаимосвязи обеспечения и законности реализации прав и свобод граждан, а также использования возможностей ЭВТ, следует обратить внимание на опыт зарубежных стран в этой сфере отношений. Так, конгрессом США были приняты закон о свободе информации и закон о прайвеси.* Первый закон распространяется на ведомственную документацию, второй - только на личную жизнь граждан. Эти законы предсталяют возможность гражданам, средствам массовой информации и частным организациям знакомиться с информацией федеральных правительственных учреждений. Закон о прайвеси предусмотрел и иных пользователей личных досье граждан, оговорив при этом, что информация может использоваться сугубо в служебных целях, но не для разглашения. Так, досье гражданина могут запросить сотрудники самого учреждения для выполнения ими своих служебных обязанностей ; Бюро переписи населения; пользователь, который направил в учреждение предварительные письменные гарантии того, что досье будет использовано исключительно для статистических исследований (в этом случае конкретные имена опускаются); другое госудрственное учреждение для использования им гражданских или уголовных законов; любая палата конгресса, а также комитет, подкомитет, обьединенный комитет, занимающийся вопросами тематики досье; Главное контрольно-финансовое управление конгресса; суд на основании изданного им приказа; национальное архивное управление для постоянного хранения в государственном архиве в качестве документа, имеющего историческую или иную ценность для страны. _________________________________ *См.:Бухвалов А.Г., Власихин В.А. Правовые основы свободы информации // США - экономика, политика, идеология. 1990. N 7. С.56-63. _________________________________ Право граждан затребовать информацию касается документации федеральных органов исполнительной власти: министерств, административных и военных ведомств, првительственных корпораций и иных учреждений. Под действие двух законов не подпадает документация таких выборных должностей, как президент, вице-президент, сенаторы и члены палаты представителей конгресса. Кроме того, закон о свободе информации установил ряд ограничений из общего правила, оговорив конкретные категории информации, не выдаваемой гражданам по их запросам. Это: засекреченные документы; внутриведомственные служебные правила, инструкции, предписания; информация, не подлежащая разглашению в соответствии с другими законодательными актами; конфиденциальная деловая информация (коммерческая и финансовая информация о предпринимательской деятельности частных лиц и корпораций); внутриведомственная служебная корреспонденция; информация, затрагивающая прайвеси человека; информация об оперативной и следственной работе правоприменяющих органов; информация финансовых учреждений. Указанные исключения не распространяются на конкгресс США. Закон о прайвеси предусматривает свои ограничения на представление гражданам личных досье, хранящихся в ЦРУ; правительственных учреждениях, занятых борьбой с преступностью. Не подлежат выдаче досье, засекреченне по соображениям национальной безопасности или в интересах внешней политики; касающиеся безопасности или в интересах внешней политики; касающиеся безопасности президента и других государственных деятелей; собираемые исключительно в целях государственной статистики; собираемые в ходе проверки кандидатов на должности в правительственном аппарате и в вооруженных силах; содержащие данные о результатах экспериментов с целью определения пригодности для службы в федеральном государственном аппарате или для продвижения по службе; содержащие материлы, собранные учреждением для использования в гражданском или уголовном деле. К ведомственной документации, предоставляемой по запросам в порядке исполнения закона об информации, относятся любые материалы, находящиеся на хранении в учреждении, кроме личных рабочих записей сотрудников. Запрос о выдаче может касаться ведомственной документации в форме печатных или машинописных материалов, магнитофонных записей, распечаток данных, заложенных в компьютерных даных и т.п. В сферу действия закона о прайвеси попадают личные сведения о гражданах, заносимые в форме досье, которые группируются в системы досье* того или иного правительственного учреждения. Информация, собираемая с определенной целью, не может использоваться в иных целях без уведомления или согласия лица, о котором собирается досье. Запрещается собирать в досье такие данные, которые отражают реализацию гражданином политических прав и свобод. Учреждение обязано хранить в досье только информацию о гражданах, которая необходима данному учреждению исключительно для выполнения им своих непосредственных функций. _________________________________ *Под системой досье закон понимает такую группу досье, из которой та или иная информация о лице может быть извлечена с помощью одного из идентифицирующих его обозначений. _________________________________ В тех случаях, когда использование информации может повлечь лишение гражданина прав, льгот или привилегий, гарантируемых федеральными программами социальной помощи, учреждение должно получать информацию по-возможности непосредственно от гражданина. В случаях получения информации от частного лица на официальном бланке, установленном для учета предоставляемых сведений и направляемом гражданину, указывается: нормативный акт, на основе которого собирается информация; обязанность или добровольность ее предоставления; главные цели, для которых может быть использована информация; формы и направления внутриведомственного использования ее; возможные последствия (если таковые предусмотрены) отказа гражданина предоставить информацию. По закону учреждение обязано обеспечить гражданину беспрепятственный доступ к его досье и возможность ознакомиться с ним лично (или в присутствии сопровождающего лица), снять копию с досье или какой-либо его части, ходатайствовать о внесении изменений и дополнений, обжаловать в административном порядке отказ в предоставлении информации, о внесении изменений и дополнений, руководителю учреждения. Если на жалобу, поданную в административном порядке, дается отрицательный ответ, то заявитель вправе обратиться с иском в федеральный окружной суд. При обращении заявителя в суд бремя доказывания законности и обоснованности отказа лежит на ответчике - правительственном учреждении. При рассмотрении дела, если отказ признан необоснованным, суд предписывает учреждению выдать требуемый документ и выносит постановление о проверке законности действий должностных лиц, отказавших заявителю. По окончании служебного расследования на виновного будет наложено дисциплинарное взыскание. В случае неподчинения учреждения решению суда о выдаче затребованной информации суд вправе возбудить дело о неуважении к суду и в суммарном порядке назначить виновному должностному лицу наказание. Кроме того, установлена уголовная ответственность в виде лишения свободы на срок до 1 года и штрафа на сумму до 1 тыс.долл. за следующие нарушения: умышленное разглашение содержания досье с идентифицирующими гражданина данными должностным лицом учреждения, отвечающим за хранение этого досье или имеющим доступ к нему, лицам и учреждениям, которые не имеют законного права на ознакомление с досье; умышленное хранение должностным лицом учреждения системы досье без опубликования требуемых законом данных об этой системе; умышленное направление запроса о выдаче досье на гражданина или получение такого досье лицом под вымышленным предлогом. Законами предусмотрено, что все федеральные правительственные учреждения обязаны всесторонне информировать население о своей деятельности. Так, закон о свободе информации обязывает министерства и ведомства публиковать или свободно предоставлять вне формальных процедур следующие данные: описание структуры учреждения и его адрес; описание функций, направлений и форм деятельности учреждения; правила административного производства и описание образцов официальных бланков заявлений, обращений и т.п.; ведомственные нормы общего действия и изложения курса деятельности учреждения; окончательные решения по спорам, рассмотренным в админитративном порядке; служебные инструкции для сотрудников учреждения, которые затрагивают права и интересы граждан. Закон о прайвеси обязывает правительственные уреждения, имеющие системы досье на граждан, периодически публиковать в официальном сборнике федеральбных административных актов следующие сведения: наименование и местонахождение системы досье; категории лиц, на которых собираются данные; категории досье, включенных в систему; формы, направления и цели внутриведомственного использования досье, включенных в систему и категории должностных лиц, допущенных к такому использованию; установленный порядок хранения досье, извлечения данных, контролирования доступа к досье и их уничтожения; должностное положение и служебный адрес сотрудника учреждения, ответственного за систему досье; установленный порядок уведомления гражданина - в случае поступления от него запроса о том, как он может получить доступ к своему досье и оспорить его содержание; категории и источники информации для досье. Правительство также ежегодно издает сборник содержащий данные обо всех федеральных органах власти (законодательных, исполнительных, судебных), с перечнем должностей и лиц (со званиями), их занимающих, описанием структуры, подразделллениями (с развернутыми схемами), функциями их деятельности. Кроме того, отдельные правительственные ведомства издают собственные сборники. Например, федеральное бюро тюрем публикует описание подведомственных ему федеральных исправительных учреждений с подробной характеристикой каждого. Федеральный закон ФРГ об охране данных обязывает учреждения и организации принимать необходимые технические и организационные меры по обеспечению сохранности указанных в законе данных. Действие закона не распространяется на широко известные или передаваемые устно сведения о том или ином лице, а также данные, хранящиеся в специальных актах и делах, доступ к которым строго ограничен. Не подлежат охране данные, которые собираются и обрабатываются в целях их последующей публикации, показа или огласки средствами кино, радио и прессы. Порядок обращения с информацией в данной области регламентируется специальными законами. В соответствии с законом об охране данных обьектом охраны являются содержащиеся в картотеках и памяти ЭВМ сведения, которые затрагивают личные интересы граждан и в связи с их вводом в ЭВМ легко могут быть получены или переданы третьим лицам. В соответствии с законом любой гражданин может потребовать справку о всех касающихся его данных, если ему известно, где они находятся. Указанные в законе представители и предприятия обязаны сообщить заинтересованному лицу о наличии его персональных данных, за исключением особых случаев. Заинтересованные лица имеют право требовать исправления неправильно внесенных в картотеку данных. Это право распространяется также на тот случай, когда данные правильны, но получены из различных источников и, следоватеьно, изолированы от конкретной ситуации, а в результате их автоматизированной обработки и общения даже без изменения первоначального содержания может сложиться искаженное представление о конкретной личности. Закон предусматривает новое положение о блокировании подлежащих аннулированию данных, которые в интересах располагающих ими учреждений, заинтересованных лиц или общества остаются для дальнейшего хранения. Использование подобых данных допускается только в указанных в законе случаях. Блокируются также сведения, точность которых оспаривается заинтересованным лицом, но в то же время правильность или неправильность которых в определенных условиях доказать невозможно. В случае нарушения установленных законом прав граждан федеральными или другими государственными органами заинтересованное лицо может обратиться к федеральному уполномоченному по контролю за неразглашением персональных данных. В законе сформулированы задачи и правовое положение этого уполномоченного. Его основные функции заключаются в контроле за соблюдением предписаний закона и консультациях по вопросам охраны данных. За нарушение отдельных предписаний закона предусматриваются различные наказания. Например, лишением свободы до одного года или денежным штрафом карается лицо, которое передает, изменяет, изымает или получает из запретных фондов подлежащие охране персональные данные. Уголовное преследование возбуждается только на основании ходатайства заинтересованного лица. Нарушение определенных предписаний процессуального характера рассматривается как административное нарушение и наказывается штрафом до 50 тыс. марок*. ____________________________________ *См.: BGS Zeitschift des Bundesgrezchutzes, 1977, 4. N 11. S.2-6; Welt, 1978, Januar. S.9. _____________________________________ Закон ФРГ о защите сведений, касающихся деятельности личной жизни граждан страны, регламентирует порядок поступления и обращения с данными о населении. Предусмотрено, что граждане, пострадавшие от использования данных о них, могут потребовать возмещения ущерба в размере до 250 тыс. марок ФРГ*. Национальный совет Австрии принял закон о неразглашении персональных данных. В нем указывается, что каждый гражданин имеет право требовать сохранения в тайне касающихся его личности данных. Если эти данные обрабатываются с помощью автоматизированных средств, он имеет право на исправление неправильных и на изьятие данных, собранных и обработанных недоступными методами. Разглашение тайны относительно хранящихся персональных данных и неправомочное вмешательство в их обработку может повлечь за собой наказание с лишением свободы до одного года*. Важная исходная предпосылка этих законов состоит в том, что граждане наделяются практически безусловным правом на получение информации: не гражданин обязан обосновать необходимость предоставления ему запрашиваемых документов, а учреждения обязаны мотивированно обосновать свой отказ в представлении той или иной информации. Здесь на лицо один из ярких правовых признаков примата в праве личности, а не государства. Существующие информационные системы, как правило, могут работать в режиме коллективного пользования с многими абонентами, находящимися на расстоянии сотен и тысяч километров, что позволяет с любого терминала, подключенного к одной из ЭВМ, получить доступ к информации другой ЭВМ. ___________________________________ *См.: Der Spiegel, 1990. N 50. S. 62. **См.: Die Industrie, 1979, 79. N 4. S.19-21. ___________________________________ Подобное положение, когда на магнитных дисках хранятся и обрабатываются огромные массивы информации, привело к тому, что криминологи и правоведы стали проявлять повышенное внимание к вопросам использования компьютеров, поскольку стало возможным совершение разного рода незаконных действий и манипуляций с их применением. Несанкционированный доступ к информации обычно осуществляется следующими способами*: "Уборка мусора" - метод поиска информации, оставленной пользователем после работы с ЭВМ. Он может состоять и в простом обшаривании мусорных корзин либо сбора выброшенных за ненадобностью листингов, и в исследовании данных, сохранившихся в памяти компьютера. "Люк" - так називается способ, предусматривающий "разрыв" программы в каком-либо месте, и помещение туда дополнительных команд, которые направляют деятельность всей системы в ужное для преступников русло. "Троянский конь" - тайное введение в чужую программу таких команд, которые позволяют ей осуществить новые, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. "Асинхронная атака" - очень сложный способ, требующий хорошего знания операционной системы, Основан на возможности совмещения команд двух или нескольких пользователей, чьи программы ЭВМ выполняетодновременно. _____________________________________ *См.: Батурин Б., Черных А. Компьютерные преступления: как с ними бороться ? // Соц.законность. 1989. N 16. С. 31-32. ______________________________________ "Логическая бомба" - тайное встраивание в программу набора команд, которые должны сработать при определенных условиях, например,через какое-либо время (в этом случае мы имеем дело с "временойбомбой"). Для предотвращения подобных действий в системах электронной обработки данных применяются методы и средства физической, аппаратной, программной, криптографической и организационой защиты. Считается, что надежную охрану информации в информационных системах можно обеспечить лишь комплексом перечяисленных методов*. Фукционирование информационных систем связано с тесным сотрудничеством людей. Вследствие этого вопрос секретности информации представляет собой не только техническую, но и социальную проблему.Такие системы должны распределять файлы и процедуры и одновременно защищать некоторые данные от несанкционированного доступа. Любое решение проблемы секретности оказывает влияние на структуру и принципы функционирования всей информационной системы. Это обусловливает необходимость принятие специальных защитных мер. Развитие совершенствованиея средств электронно-вычислительной техники, использование ее в органах внутренних дел, ведет к увеличению зависимости от технического персонала. Поэтому определенную проблему представляет подготовка сотрудников к работе в условиях информатизации управления. С развитием и добавлением новых систем возникает потребность организации курсов переподготовки практических работников системы органов внутренних дел. _______________________________ *См.: Герасимов В., Владиславский В. Комплексная автоматизация и защита информации // Зарубежная электроника. 1985. N 2. С. 49-63. _______________________________ Кроме того, обработка и хранение служебной и секретной информации не создала особых проблем для сотрудников до введения информационных систем. Перевод таких работ на вычислительную технику повышает ответственность каждого сотрудника за сохранность информации. Вопрос безопасности секретности информации в целом относительнонов. Не все проблемы, связанные с ним, выявлены к настоящему времени и решены соответствующим образом. Сам по себе факт, что вычислительная система предназначена для широкогокруга пользовтелей, создает определенный риск в плане безопасности, поскольку не все кллиенты будут выполнять требования по ее обеспечению. Порядок хранения носителей информации должен быть четко определен в соответствующем правовом акте и предусматривать полную сохранность носителей информации, удобство отыскания необходимых носителей, контроль работы с информацией, ответственность за несанкционированный доступ к носителям информации с целью снятия с них копий, изменения или разрушения и т.д. Важным условием эффектиного условия вычислительной техники в органах внутрених дел является создание системы защиты секретной информции*. Интерес к вопросам сохранности информации, защиты ее отслучайного и преднамеренного уничтожения, повреждения и несанкционированого получения появился, когда ЭВМ стали широко применять в экономической, социально-политической и оборонной областях. __________________________________ *См.подробнее: Герасимов А.П. Правовые проблемы защиты секретной информации в условиях автоматизации управления в органах внутренних дел //Организация управления, планирования и контроля в органах внутренних дел. М., 1984. С.57. __________________________________ В автоматизированных системах можно болеее скрытно получить доступ к информационным архивам, которые концентрируются в одном месте в больших обьемах. Кроме того, появилась возможность дистанионого получения информации через терминалы, расположенные в удалении от мест хранения данных. Поэтому для защиты информации требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ЭВМ и других средств сбора, передачи и обработки данных*. Особые мероприятия защиты необходимы, когда ресурсы ЭВМ используются несколькими абонентами через терминалы в многопрограммном режиме и в режиме с разделением времени. Здесь возникает ряд правовых проблем, связанных с массивами информации, сконцентрированных в банках данных и знаний, которые представляют собой большую общественную и национальную ценность, а их содержание является национальным секретом. Использование такой информации не по назначению может наносить значительный ущерб как обществу в целом, так и отдельной личности. В литературе справедливо обращается внимание на следующие правовые аспекты защиты нформации, которые могут возникнуть при недостаточно продуманном или злонамеренном использовании электронно-вычислительной техники. К ним относятся: I. Правовые вопросы защиты больших массивов информации от исажений и становления юридической ответственности по обеспечентию сохранности информации. 2. Юридические и технические вопросы защиты больших обьемов хранящейся информации от несанкционированногодоступа к ней, исключающие возможность неправомерного использования ее. 3. Установление юридически закрепленных норм и методов защиты авторских прав и приоритетов разработчиков программного продукта. 4. Разработка мероприятий по приданию юридической силы документам, выдаваемым машинами и формирование юридических норм, определяющих лиц, ответственных за доброкачественность других документов. 5. Правовая защита интересов экспертов, передающих свои знанияв фонды банков данных. 6. Установление правовых норм и юридической ответственности за использование электронно-вычислительных средств в личных интересах, противоречащих интересам других личностей и общества и могущих нанести вред последним*. Мероприятия по защите информации разрабатываются с учетом того,что вычислительный центр - совокупность оборудования, прлограмм,информации и обслуживается людьми. поэтому мероприятия должны быть комплексными, предусматривать единство технических, программных и организационно-технических решений, а такжк человеческих факторо*. Основное условие защиты данных в информационых системах -эффективная эксплуатация оборудования и высокая культура труда навычислительных центрах. ___________________________________ *См.: Гаазе-Рапопорт М.Г. Некоторые социальные и социально-психологические проблемы компьютеризации // Вопросы философии. 1988.N 7. С.150. **См.: Власов В.П., Зарубин В.Н., Луцкий О.Н. Основные принципы и методы защиты екретной информации в автоматизированных системах обработки данных // Специальная техника. Сб. научн. трудов. М., 1987. С. 16. _____________________________________ Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и производственая дисциплина персонала, вход постороних лиц вмашинные залы создает условия для злоупотреблений и вызывает трудности их обнаружения. В каждом вычислительном центре принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий работников. Проблема защиты информации от неправомерного доступа и противозаконных действий зависит от разработки организационных мероприятий, в которых должны быть отражены: - неправомерный доступ к аппаратуре обработки информации путем контроля доступа в производственые помещения; - неправомочный вынос носителей информации персоналом, занимающимся обработкой даннх посредством выходного контроля в соответствующих производственных помещениях; - несанкционирование введения данных в память, изменение или стирание информации, хранящейся в памяти; - неправомочное пользование системами обработки информации и незаконное получение в результате этого данных; - доступ в системы обработки информации посредством самодельныхустройств и незаконное получение данных; - возможность неправомочной передачи данных из информационновычислительного центра; - бесконтрольный ввод данных в систему; - обработка данных по заказу без соответствующего указания заказчика; - неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации. Развитие вычислительной техники и ее широкое применение государственными органами и частными учреждениями привели к возникновению и распространению так называемых компьютерных преступлений. Такое положение вызывает беспокойство и в тех организациях, где применяется компьютерная техника, и в органах поддержания правопорядка, и среди широких слоев населения, прямо или косвенно являющихся пользователями новых выдов обслуживания. Термин "компьютерная преступность" впервые был использован еще в начале 70-тых годов. Однако до настоящего времени продолжается дискуссия о том, какие противозаконные действия подразумеваются подним. Было предложено ряд уголовно-правовых определений компьютерной преступности. Часто оно трактуется, как преступление прямо или косвенно связанное с ЭВМ, включающее в себя целую серию незаконных актов, совершаемых либо с помощью системы электронной обработки данных, либо против нее*. Другие под компьютерной преступностью подразумевают любе деяние, влекущее незаконное вмешательство в имущественные права, возникающее в связи с использованием ЭВМ*. Третьи вкладывают в это определение все преднамеренныне и противозаконные действия, которые приводят к нанесению ущерба имуществу и совершение которых стало возможным прежде всего благодаря электронной обработке информации*. Выделяют следующие формы проявления компьютерной преступности: манипуляции с ЭВМ, кражи машиного времени, экономический шпионаж, саботаж, компьютерное вымогательство (разновидность рэкета), деятельность "хеккеров". Представляют интерес приемы и способы совершения компьютерных преступлений. _______________________________ *См.:Cecurity Gazett. 1984. September. Р.5. **См.:Computer and Cociety. 1983. 13. Р.9. ***См.:Kriminalistik. 1987, N 7. S.248; Revue de science сriminologique, 1990, N3. Р.640-644. ________________________________ Под компьютерными манипуляциями подразумевается неправомочное изменение содержимого носителя информации и программ, а также недопустимое вмешательство в процесс обработки данных. В качестве основных сфер осуществления компьютерных манипуляций отмечаются следующие: совершение покупок и кредитование (манипуляции с расчетами и платежами, направление товаров по неправильному адресу); сбыт товара и счета дебиторов (уничтожение счетов или условий, оговоренныхв счетах, махинации с активами); расчеты заработной платы (изменение отдельных статей начисления платежей, внесение в платежную ведомость фиктивных лиц). Для компьютерных манипуляций характерны некоторые особенности, обусловленные спецификой самого обьекта преступных дейсвий. Например, часто имеется возможость отладки программ, составленной с преступными целями; однажды найденная возможность для незаконых действий может многократно реализовываться. Вследствие простоты передачи программного обеспечения в сетях и машинах возникает опасность заражения их компьютерным "вирусом", т.е. опасность появления программ, способных присоединяться к другим программам машины и нарушать ее работу. Манипуляции с системным программным обеспечением могут осуществляться только узким кругом специалистов- программистами. Проведение противозаконных операций с программами пользователей доступно специалистам-аналитикам и программистам. Значительно меньший обьем специальных знаний необходим для осуществления манипуляций с входными и выходными данными. Такие неправомочные действия могут совершать даже лица, не имеющие непосредственного отношения к информационной техники. На основе анализа материалов расследований швейцарской полицией компьютерных преступлений были выявлены следующие характерные особенности преступников. Из 43 правонарушителей преобладающую часть составляли мужчины - 34 человека, или 83%. Возраст 87% преступников составлял от 20 до 40 лет. 13% -старше 40 лет.Большинство преступников (77%) имели средний уровень интеллектуального развития ,21% -выше среднего и только 2%- ниже среднего.52% правонарушителей имели специальную подготовку в области автоматической обработки информации.Подавляющая их часть (97%) являлась служащими ВЦ и соответствующих учреждений,в том числе 30 % преступников имели непосредственное отношение к эксплуатации компьютерных устройств. Среди выявленных полицией преступников 38% действовали без соучастников. Около 7О% правонарушителей впервые были задержаны полицией за совершение подобного вида преступдлений. Подавляющее большинствопреступников (94%) совершили противозаконные действия с целью обогащения*. Под кражей машинного времени понимается незаконное использование информационной системы. При совершении компьютерных преступлений данной категории преступник неправомочно в своих личных целях применяет ЭВМ, устройство ввода и вывода информации, запоминающие устройства. Наряду с непосредственным незаконным использованием информационных систем к этой категории преступлений относятся также действия, связанные с несанкционированным доступом сети передачи информациии и проведение идентификационных процедур. ________________________________ *См.:Kriminalistik, 1987. N6. S.333-335. ________________________________ По результатам изучения материалов расследований противозаконных действий, связанных с кражами машинного времени, выявлены следующие характерные особенности преступников. Все восемь правонарушителей, арестованные полицией за совершение преступлений рассматриваемой категории, являлись мужчинами. Возраст 33% преступников непревышал 20 лет, остальных - составлял от 24 до 40 лет. 40% преступников окончили народные школы, 20% средние и 40% - высшие учебные заведения. По оценкам экспертов, 67% правонарушителй имели средний уровень интеллектуального развития, остальные - выше среднего. Все преступники имели специальную подготовку в области работыс ЭВМ. 57% правонарушителей являлись служащими ВЦ, учреждений и фирм. Все они имели непосредственный доступ к электронным устройствам. Из числа остальных преступников, не работающих в этих организациях, только одна треть имела непосредственное отношение к эксплуатации ЭВМ. Большинство преступников (57%) совершили кражи машинного времени, имея соучастников. Все эти люди ранее не привлекались к уголовной ответственности. Основным побудительным мотивом совершения всех преступлений явилось стремление к обогащению*. Под экономическим шпионажем понимается незаконное приобретение или использование данных, записанных в памяти информационных систем, или программ обработки данных. Особая опасность этих компьютерных преступлений обусловлена высокой плотностью данных в памяти, быстротой копирования информации, а также возможностью перезаписи преступниками целых массивов данных без каких-либо следов этих действий. Для совершения преступлений анализируемой категории используются достаточно широкие возможности копирования данных, представляемые современной техникой, а также возможности доступа в информационные системы через конечные устройства. ___________________________ * См.:Kriminalistik, 1987, N6. S.333-335. ___________________________ Преступления анализируемой категории совершаются, например, путем незаконной передачи информации соотверствующим лицам сотрудниками подразделений, связаных обслуживанием пользователей. Многие правонарушения базируются на неправомочном использовании отходов процесса обработки информации: распечаток, носителей данных, инструкций. Достаточно распространенным способом совершения рассматриваемых преступлений являются кражи информации в подразделениях по обработке данных и связанных с обслуживанием пользователей, а также в архивах. Широкие потенциальные технические возможности имеются для совершения компьютерных преступлений рассматриваемого типа при дистанционной передач данных. Электрические сигналы, предаваемые по линиям связи от терминала к ЭВМ или в обратном направлении, могут достаточно просто регистрироваться с помощью приемного устройства, подключенного к этой линии, и записываться на магнитную ленту. Затем эти сигналы через преобразователь могут быть выведены на экран терминала или на печатающее устройство. Незаконное получение информации может осуществляться и путем регистрации электромагнитного излучения различных устройств, используемых в процесе ее обработки. Еще одним распространенным способом совершения компьютерных преступлений анализируемой категории является незаконный доступ в информационные системы. Для его осуществления преступник должен располагать следующими исходными данными: телефонным номером подключения к системе, процедурой заявки, ключевым словом, номером счета. Номер телефонного подключения к информационной системе чаще всего имеется в телефонной книге для внутреннего использования организации. Данный номер может быть, например, передан преступнику сотрудниками этой организации или идентифицирован правонарушителем с помощью программы поиска. Остальная исходная информация также может быть передана преступнику сотрудниками соответствующего учреждения, имеющими к ней доступ. Компьютерный шпионаж преследует, как правило, экономические цели. Преступления этой категории чаще всего совершаются для получения следующей информации: программ обработки данных, результатов научных исследований, конструкторской документации и калькуляции, сведений о стратегии сбыта продукции и списков клиентов конкурирующих фирм, административных данных и сведений о планах, о технологии производства. На основании анализа материалов расследований швейцарской полиции случаев компьютерного шпионажа выявлены следующие характерные особенности преступников. Из 29 правонарушителей 93% составляли мужчины. Возраст 92% преступников был от 20 до 40 лет, остальные - старше 40 лет. 50% преступников закончили народные школы; 44% - средние; 6% - высшие учебные заведения. По оценкам экспертов 93% преступников имели средний уровень интеллектуального развития, остальные - выше среднего. Более 80% правонарушителей имели специальную подготовку в области автоматической обработки информации. Среди преступников 48% являлись служащими учреждений, фирм, в которых были совершены компьютерные преступления анализируемой категории. Из них 69% имели непосредственное отношение к эксплуатации устройств обработки информации. Из числа правонарушителей, не являющихся служащими учреждений, ставших обьектами компьютерного шпионажа, 71% лиц имели непосредственное отношение к эксплуатации информационной техники. Только одна треть преступников совершила противозаконные действия без соучастников. В ходе расследования из числа преступников не было выявлено ни одного лица, которое ранее не привлекалось бы куголовной ответственности. Основным побудительным мотивом совершения компьютерных преступлений анализируемой категории являлось, в конечном итоге, стремление к обогащению*. Понятие "экономический саботаж" обьединяет преступные акции трех основных видов: стирание и фальсификация данных, выведение из строя и разрушение аппаратной части информационныз систем, запугивание и шантаж обслуживающего персонала с целью прекращения ими работы. Особая опасность компьютерного саботажа определяется значительной заисимостью экономического положения учреждений, фирм и т.д. от сохранности информационных массивов и программ, уничтожение которых влечет за собой существенный материальный ущерб. При этом необходимо учитывать высокую плотность записи информации на носителях, а также высокий уровень концентрации информационной аппаратуры, что и способствует появлению широких потенциальных возможностейнанесения значительного материального ущерба путем совершения сравнительной небольшой преступной акции. На основании анализа материалов расследований швейцарской полиции случаев компьютерного саботажа выявлены следующие характерные особенности преступников. _____________________________ *См.: Кriminalistik, 1987, N 6. S.337-339. _____________________________ Из 16 правонарушителей 83% составили мужчины. Возраст 25% преступников не превышал 20 лет, а остальных был от 20 до 40 лет. Уровень общего образования этой группы лиц характеризуется такими данными: 60% преступников окончили народные школы; 20% - средние; 20% - высшие учебные заведения. По оценкам экспертов 90% лиц, совершивших преступные действия, имели средний уровень интеллектуально развития, остальные 10% -выше среднего. Все преступники имели специальную подготовку в области автоматической обработки информации. Половина преступников являлась сотрудниками пострадавших учреждений, организаций и фирм. Из них 83% имели непосредственное отношение к эксплуатации устройств обработкиинформации. Среди преступников, не являвшихся служащими этих организаций, данный показатель составлял 67%. Большая часть преступников (56%) совершала акции компьютерного саботажа без соучастников надо. Среди правонарушителей полицией не было выялено лиц, ранее уже привлекавшихся к уголовной ответственности. Только 23% допустили подобные правонарушения в целях личногообогащения. Среди других побудительных мотивов совершения компьютерных преступлений данной категории отмечаются месть (54%) и достижения политических целей ( 7%)*. Компьютерное вымогательство, мошенничесто - навязанная защита компьютерных систем (разновидность рэкета). Дело осложняется тем, что если для обеспечения безопасности перевозок ценностей имеют возможность нанимать специальные фирмы, то для защиты компьютерных систем пока аналогичных способов не существует*. _____________________________ *См.: Kriminalistik, 1987, N 6. S.341-342. _____________________________ Наиболее распространенная в настоящее время форма компьютерных преступлений - деятельность "хэккеров", владельцев персональных компьютеров, незаконно проникающих в информационные сети. Хэккеры -это квалифицированные и изобретательные программисты, занимающиеся разными видами компьютерных махинаций, начиная с нарушений запретов на доступ к ЭВМ и кончая нарушениями запретов на доступ к компьютерам в совокупности с их несанкционированным использованием,вплоть до хищения секретных сведений*. Компьютерные преступления отличаются от обычных преступлений особенными пространственно-временными характеристиками. Так, подобные преступные деяния совершаются в течение нескольких секунд, а пространственные ограничесния оказываются полностью устраненными. Лица, совершающие компьютерные преступления, также имеют свои особенности: они, как правило, молоды, имеют высшее образование, знакомы с методыми раскрытия кодов и внедрения в системы ЭВМ*. Привлекает внимание тот факт, что среди большого количества сфер совершения компьютерных реступлений за руб ежом не искллюченаисфера деятельности самойц полиции. Так, служащие нью-йоркской автоинспекии добавили больше тысячи имен в машинные списки на получение родительских прав. Эти имена принадлежали, в основном, эммигрантам, не говорящим по- английски. __________________________________ *См.:Computer fraund and Security Dulletin, 1989. N 5. P.4-6. **Cм.:Times, May 30. 1989. P.3 ***См.:Forum, 1984. X1. N 3. P.12. ___________________________________ Водительские лицензии этим лицаявыписываются на основе компьютерных списков. Работая в частных автошколах, служащие инспекции брали от 200 до 400 долларов за каждое незаконно выданное удостоверение. В результате они получили 3 млн. долларов *. Второй пример. Сотрудник налогового управления продал копию документации, основанной на секретной компьютерной логике. В этих документах описаны машинные методы, используемые в налоговом управлении для контроля деклараций о доходах налогоплательщиков. Знание этой информации позволяет налогоплательщикам избежать правильного обложения налогами*. Третий пример. Офицера полиции шт.Массачусетс обвинили в продаже машины полицейских записей частному детективу. В г.Чикаго полицейский офицер предстал перед федеральным судом по обвинению в незаконном программировании компьютера, принадлежащего национальному центру уголовной информации ФБД, для получения информации в личных целях*. Эти примеры свидетельствуют о том, что возможность совершения компьютерных преступлений в самой политической среде требует подготовки профилактических мер по их предотвращению. По приблизительным данным ФБР, в США ежегодно потери от преступлений, совершаемых с помощью вычислительной техники, составлют 10 млрд.долл., при этом средняя сумма одной кражи равна 430 тыс.долл. Шансы найти преступника чрезвычайно малы: согласно оценкамодин случай из 25 тыс.*. _______________________________ *См.:Infosystems, 1978, 26. N 6. P.18. **Cм.:Chriscian Seience Monitor, 1979, 26. 03. P.8. ***См.:Cogressional Record - Senate, 1977, 27. Sept. P.1754. ****См.:Computer Fraud and Security Bulletin, 1986. N 8. P. 3. _________________________________ Как свидетельствует зарубежная практика , один из важнейших способов повышения эффективности борьбы с компьютерной преступностью -создание надлежащей правовой основы для преследования в уголовном порядке лиц, виноовных в преступлениях такого рода. В настоящее время развитие правовой основы для борьбы с преступлениями, обьектом которых является "интеллектуальный" элемент ЭВМ, идет в следующих направлениях: 1) создание уголовно-правовых норм, предусматривающих раздельную защиту программного обеспечения ЭВМ и баз данных,а также "осязаемых" элементов эектронно-вычислительных систем; 2) использование существующего законодательства *. Несмотря на то, что существующие уголовные законы достаточно гибки для квалификации нарушений этого типа, однако социальные и технические изменения создают все новые и новые проблемы, часть которых оказывается вне рамок любой из нынешних правовых систем. Поэтому и "подготовка нормативно-правовых актов о компьютеркой безопасности исключительно сложна, поскольку связана с технологией, опережающей нормотворческий процесс"*. Развитие закодадельства не всегда может угнаться за быстрым развитием техники и возможностями преступного использования ее последних достижений. Так, в существуещем законодательстве отсутствуютправовые нормы, относящиеся к преступлениям, совершенным с попощью ЭВМ. ______________________________ *См.: Черных А.В. Некоторые вопросы квалификации компьютерного саботажа за рубежом // Сов.госуд.и право.1988. N8.С.73. **С.: Батурин Ю.М. Компьютерное право: краткий реестр проблем // Сов. госуд. и право. 1988. N 8.С.67. _______________________________ Это порождает следующую проблему: каким образом обвинять преступников, использовавших ЭВМ, с помощью обычных норм права. В компьютерных преступлениях ЭВМ может быть как обьектом, так исубьектом преступления. В тех случаях, когда она сама является обьектом преступления, т.е. ей наносится материальный ущерб путем физического повреждения, не возникает проблем с применением существующего законодательства.Но те случаи, когда ЭВМ испльзуется для совершения актов обмана, укрывательства или присвоения с целью получения денег, услуг, собственности или деловых преимуществ, представляют собой новые правовые ситуации. Существует ряд характерных черт преступлений, связанных с использованием ЭВМ, которые дают их расследование и предьявление обвинения по ним более трудными по сравнению с другими преступлениями. В дополнение к юридическим трудностям возникаяю и другие проблемы, с которыми может столкнуться следствие. Среди них: - сложность обнаружения преступлений, связанных с использованием ЭВМ; - большая дальность действия современных средств связи делает возможным внесение незаконных изменений в программу ЭВМ с помощью дистанционных терминалов либо закодированных телефонных сигналов практически из любого района; - затруднения в понимании порядка работы ЭВМ в технологически сложных случаях; - информация преступного характера, заложенная в память ЭВМ и служащая доказательством для обвинения, может быть ликвидирована почти мгновенно; - обычные методы финансовой ревизии в случае этих преступлений не применимы, т.к. для передачи информации испльзуются электронные импульсы, а не финансовые документы. На первый взгляд кажется, что компьютерные преступления могут быть расследованы в соответствии с традиционным законодательством, относящимся к краже, растрате, нанесению вреда собственности и т.д.Однако, несоответствие традиционного уголовного законодательства в применении к этой новой форме преступления, становится очевидным, как только мы попытаемся установить наличие всех элементов состава традиционного преступления, совершенных с помощью ЗВМ. Например, если злоумышленник вошол в помещение, где расположена ЗВМ, незаконным образом или с преступной целью, тогда закон может быть применен традиционным образом. Если преступник вошел в помещение, где находится ЭВМ, для того, чтобы причинить вред материальной части ЭВМ, украсть программу, то одно лишь только вторжение с незаконным намерением будет достаточным для дредьявления обвинения по делу. Однако, если лицо пытается получить доступ к данным, внесенным в память ЭВМ для того, чтобы похитить ценную информацию, хранящуюсяв ЭВМ, предьявление обвинения в соответствии с традиционным законом вряд ли будет возможным. Доступ может быть получен через дистанционный терминал, установленный на дому у преступника или посредством секретного телефонного кода. Такие нетрадиционные формы "вторжения" не предусмотрены законом. Также не всегда возможно доказать,что имело место какое-либо изьятие собственности, как того требует закон. Например, компьютерная программа может быть "считана" с отдаленного компьютерного терминала. Такое изьятие не затрагивает элементов материальной реализации ЭВМ и может даже не затронуть программное обеспечение, т.к. закодированная информация может быть только списана (т.е. скопирована) где-либо еще, по-прежнему оставаясь в ЭВМ. Требования обычного права к такому составу преступления, как кража, а именно, чтобы обязательно имело место "изьятие", является неадекватным по отношению к современным методам копирования и хищения информации, которые не изменяют оригинала и не изымают его физически из владения. До тех пор, пока не будет принят закон о защите информации и компьютерных преступлениях, эффективно бороться с правонарушениями в этих областях будет невозможно. В связи с тем, что в Украине компьютерная техника носит общегосударственный характер и в будущем будет использовать международные линии связи для контактов между различными компьютерными системами, возникает необходимость введения жесткого законодательства, направленного на пресечение компьютерных преступлений. Поэтому принятие специального законодательства в отношении преступных деяний, связанных с компьютеризацией, даст ряд положительных качеств. Во-первых, правоохранительные органы получат единообразное средство уголовного преследования лиц, использующих вычислительную технику в преступных целях. Во-вторых, наличие законодательства, направленного на пересечение компьютерных преступлений, будет способствовать ограничению распространения этого вида преступления. В-третьих, в будущем облегчит работу юридическим фирмам, которые хотели бы взять на себя охрану прав клиентов, имеющих ЭВМ. В-четвертых, принятие закона привндет к тому, что данные о компьютерных преступлениях будут концентрироваться в одном каком-тооргане, а это позволит не только иметь подробную статистику, но и дает базу для научного анализа компьютерных преступлений с целью выявления их почерка, характера, тенденций в этой области и повысит возможности как в выявлении преступников, так и в определении возможных уязвимых мест в информационных системах. В пользу законодательства, направленного на борьбу с компьютерными преступлениями говорит и тот факт, что государство опирается на вычислительную технику, а порча этой техники или полный вывод ее из строя грозит серьезными последствиями во многих областях жизни и деательности страны: экономической, финансовой, военной и многих других.