В настоящее время можно выделить три основных группы мер предупреждения компьютерных преступлений. Выделяя их, я сразу же буду раскрывать их смысл.
Правовые
В эту группу мер предупреждения компьютерных преступлений прежде всего относят нормы законодательства, устанавливающие уголовную ответственность за противоправные деяния в компьютерной сфере. Если обратиться к истории, то мы увидим, что первый нормативно- правовой акт такого типа был принят американскими штатами Флорида и Аризона в 1978 году. Этот закон назывался «Computer crime act of 1978». Затем почти во всех штатах Америки были приняты аналогичные законодательства. Эти правовые акты стали фундаментом для дальнейшего развития законодательства в целях осуществления мер предупреждения компьютерных преступлений. Что же касается нашей страны, то первым шагом в этом направлении можно считать Федеральный Закон «О правовой охране программ для ЭВМ и баз данных» от 23 сентября 1992 года. Аналогичные законы в зарубежных странах были приняты на 5-10 лет раньше. 20 и 25 января 1995 года Федеральным Собранием были приняты 2 закона соответственно: «О связи» и «Об информации, информатизации и защите информации». Эти правовые акты явились прогрессивным шагом в развитии данного направления, они:
- Дают юридическое определение основных компонентов информационной технологии как объектов правовой охраны
- Устанавливают и закрепляют права и обязанности собственника на эти объекты
- Определяют правовой режим функционирования средств информационных технологий
- Определяют категории доступа определенных субъектов к конкретным видам информации
- Устанавливают категории секретности данных и информации
- Дают определение и границы правового применения термина «конфиденциальная информация»
- Аналогичные законы действуют в западных странах уже более 20 лет.
- Решающим законодательным аккордом в этой области можно считать принятие в июне 1996 года Уголовного кодекса РФ, устанавливающего уголовную ответственность за компьютерные преступления. Информация в нем – объект уголовно-правовой охраны.
- Организационно-технические меры предупреждения компьютерных преступлений.
- Я рассмотрю данные меры, применяемые в западных странах.
Рассмотрю отдельные положительные, на мой взгляд, организационно-технические меры предупреждения компьютерных преступлений, применяемые в развитых зарубежных странах
В настоящее время руководство профилактикой компьютерных преступлений в этих странах осуществляется по следующим направлениям
1) соответствие управленческих процедур требованиям компьютерной безопасности;
2) разработка вопросов технической защиты компьютерных залов и компьютерного оборудования;
3) разработка стандартов обработки данных и стандартов компьютерной безопасности;
4) осуществление кадровой политики с целью обеспечения компьютерной безопасности;
Например, национальным бюро стандартов США были разработаны базовые требования безопасности, предъявляемые к компьютерным сетям. В их числе:
— пригодность — гарантия того, что сеть пригодна для обеспечения санкционированного доступа;
— контролируемая доступность — гарантия, что сеть обеспечит доступ только санкционированному пользователю для решения санкционированных задач;
— неприкосновенность — защита данных от несанкционированного их изменения и уничтожения;
— конфиденциальность — защита данных от несанкционированного раскрытия;
— безопасность передачи данных — гарантия того, что идентификация пользователей, качество передаваемых данных, время и продолжительность передачи данных обеспечены.
На основе данных требований были созданы соответствующие механизмы технического контроля, отвечающие следующим критериям:
1) целостность — базовая надежность, гарантирующая, что механизм работает как должно;
2) возможность проверки — способность записывать информацию, которая может иметь значение в раскрытии и расследовании попыток посягательства на средства компьютерной техники и других событий, относящихся к вопросам безопасности системы.
В результате практической реализации этих мер стало возможно:
- контролировать физический доступ к средствам компьютерной техники (СКТ);
. контролировать электромагнитное излучение аппаратных СКТ;
— наблюдать за возможной угрозой СКТ и фиксировать каждую такую попытку (методом мониторинга).
Как видно из вышеприведенного, цели и основные положения защиты информации в зарубежных странах по ряду базовых позиций совпадают с российскими и предполагают:
а) предотвращение утечки, хищения, утраты, искажения и подделки информации;
б) предотвращение угроз безопасности личности, общества и государства;
п) предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и системы;
г) обеспечение правового режима функционирования документированной информации как объекта собственности;
д) сохранение государственной тайны и конфиденциальности документированной информации;
е) обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
По методам применения тех или иных организационно-технических мер предупреждения компьютерных преступлений специалистами отдельно выделяются три их основные группы
1) организационные;
2) технические;
3) комплексные (сочетающие в себе отдельные методы двух первых групп).
Организационные меры защиты СКТ включают в себя совокупность организационных мероприятий по подбору проверке и инструктажу персонала, участвующего на всех стадиях ин формационного процесса; разработке плана восстановления информационных объектов после выхода их из строя; организации программно-технического обслуживания СКТ; возложению дисциплинарной ответственности на лиц по обеспечению безопасности конкретных СКТ; осуществлению режима секретности при функционировании компьютерных систем; обеспечению режима физической охраны объектов; материально-техническому обеспечению и т. д. и т. п. Организационные мероприятия, по мнению многих специалистов, занимающихся вопросами безопасности компьютерных систем, являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.
Анализ материалов отечественных уголовных дел позволяет сделать вывод о том, что основными причинами и условиями способствующими совершению компьютерных преступлений в большинстве случаев стали:
1) неконтролируемый доступ сотрудников к пульту управления (клавиатуре) компьютера, используемого как автономно, так и в качестве рабочей станции автоматизированной сети для дистанционной передачи данных первичных бухгалтерских документов в процессе осуществления финансовых операций;
2) бесконтрольность за действиями обслуживающего персонала, что позволяет преступнику свободно использовать указанную в п. 1 ЭВМ в качестве орудия совершения преступления;
3) низкий уровень программного обеспечения, которое не имеет контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации;
4) несовершенство парольной системы защиты от несанкционированного доступа к рабочей станции и ее программному обеспечению, которая не обеспечивает достоверную идентификацию пользователя по индивидуальным биометрическим параметрам;
5) отсутствие должностного лица, отвечающего за режим секретности и конфиденциальности коммерческой информации и ее безопасности в части защиты средств компьютерной техники от несанкционированного доступа;
6) отсутствие категорийности допуска сотрудников к документации строгой финансовой отчетности, в т. ч. находящейся в форме машинной информации;
7) отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения коммерческой и служебной тайны, персональных данных и иной конфиденциальной информации.
В функциональные обязанности указанных лиц прежде всего должны входить следующие позиции осуществления организационных мер обеспечения безопасности СКТ:
1) обеспечение поддержки со стороны руководства конкретной организации требований защиты СКТ;
2) разработка комплексного плана защиты информации;
3) определение приоритетных направлений защиты информации в соответствии со спецификой деятельности организации;
4) составление общей сметы расходов финансирования охранных мероприятий в соответствии с разработанным планом и утверждение ее в качестве приложения к плану руководством организации;
5) определение ответственности сотрудников организации за безопасность информации в пределах установленной им компетенции путем заключения соответствующих договоров между сотрудником и администрацией;
6) разработка, внедрение и контроль за исполнением раз личного рода инструкций, правил и приказов, регламентирующих формы допуска, уровни секретности информации, конкретных лиц, допущенных к работе с секретными (конфиденциальными) данными и т. п.;
7) разработка эффективных мер борьбы с нарушителями защиты СКТ.
При этом, как показывает практика, наиболее надежным средством повышения эффективности мер безопасности СКТ является обучение и ознакомление работающего персонала с применяемыми в конкретной организации организационно-техническими мерами защиты.