ВВЕДЕНИЕ
Термин "безопасность информационных технологий" понимается специалистами по-разному, причем чаще всего имеется в виду какой-то один аспект этой проблемы. Например, с точки зрения производителя источников бесперебойного питания серьезную угрозу для вычислительной системы представляет нестабильность энергосети, а с позиции разработчика антивирусных программ - риск уничтожения бесценных данных. Каждый из этих аспектов, безусловно, заслуживает отдельного изучения, но для потребителя важно обеспечить безопасность вообще, а не только по отдельным рискам.
Перед потребителем стоят конкретные задачи - наладить производственный процесс, бухгалтерский или складской учет, управление финансами и кадрами, т.е. обеспечить бизнес-процесс. И если какая-либо реализация информационных технологий (некая совокупность вычислительных систем, средств связи, специализированного оборудования, программ и т.п.) позволяет решить эту задачу оптимальным способом, потребитель тратит время и деньги на ее внедрение. Но доверив бизнес-процесс информационной системе, он попадает в прямую зависимость от ее работоспособности. Эта зависимость критична ровно настолько, насколько критичен для фирмы соответствующий бизнес-процесс. Другими словами, если по любой причине оказалась неработоспособной система, отвечающая за ключевой бизнес-процесс, то это ставит под угрозу существование всего предприятия. И для потребителя безопасность внедряемых информационных технологий - это проблема, связанная с обеспечением их правильного и бесперебойного функционирования.
1. Технические средства обеспечения безопасности информационных технологий
Представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к допустимому (с позиции бизнеса) времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности.
Рассмотрим (в самых общих чертах) средства, которые можно применять по отдельности или в сочетаниях:
"горячее" дублирование системы (полное либо ключевых компонентов). Например, два идентичных вычислительных комплекса (основной и "дубль" ) соединены высокоскоростной линией связи и работают синхронно. Если внезапно останавливается основной, то выполнение задачи мгновенно переключается на дубль;
"холодное" резервирование и поддержание склада запасных частей и устройств. Время восстановления исчисляется минутами - на замену неработоспособных компонентов и перезапуск системы;
аварийные сервисы различных масштабов (гарантийный и послегарантийный, обычный и расширенный, например с предоставлением замены на время ремонта). Могут приобретаться как " в комплекте" с оборудованием и другими услугами у одного поставщика, так и отдельно у третьей стороны;
применение оборудования с повышенной отказоустойчивостью, источников бесперебойного питания, специализированных систем диагностики и контроля;
применение специализированных программных и/или аппаратных средств для защиты от хакерских атак;
подписка на антивирусное обслуживание, в том числе и с аварийным выездом специалистов;
"горячие линии" поддержки (телефонные и через Интернет) для оборудования и программного обеспечения.
Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.
2. Криминогенные аспекты глобальной сети Интернет
Роль и значение Интернета в сегодняшней жизни очень велики. Постепенно развиваясь, Интернет перестал быть только средством обмена информацией, а приобрел многофункциональность.
Однако необходимо признать, что Интернет находится в настоящее время в какой-то мере вне законодательного регулирования и контроля государственных органов, что порождает различные правонарушения и преступления под действием нескольких факторов, которые существенно влияют на криминогенную обстановку, сложившуюся вокруг Интернета.
1. Возможность мошенничества при заключении сделок через Интернет, возможность хищения из виртуальных магазинов, а также создания виртуальных финансовых пирамид.
2. Возможность совершения сделок и операций, скрытых от налоговых органов.
3. Возможность нарушения авторских и патентных прав, а также использования различных информационных баз правоохранительных и контролирующих органов.
4. Возможность совершения преступлений в сфере компьютерной информации (ст.272УК РФ - неправомерный доступ к компьютерной информации; ст.273УК РФ - создание, использование и распространение вредоносных программ для ЭВМ, ст.274 УК РФ - нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).
Рассмотрим данные факторы подробнее.
1. Многие на Западе рассматривают в настоящее время переход к электронной коммерции как вопрос жизни и смерти компаний и корпораций. С помощью Интернета некоторые зарубежные компании существенно повысили объемы продаж своей продукции, а те, кто пренебрег всемирной сетью, значительно отстал от конкурентов и им ничего не остается, как просто копировать опыт своих более удачливых коллег.
Метод прямых продаж через Интернет позволяет существенно снизить стоимость продукции, так как отпадает нужда в аренде торговых площадей, приобретении торгового оборудования, выплаты заработной платы продавцам и иному персоналу.
Торговля через Интернет существенно упрощает жизнь и покупателю. Больше нет необходимости ездить по различным магазинам и ярмаркам в поисках места, где искомый товар стоит дешевле. Стоит лишь провести несколько минут у экрана компьютера, и все цены виртуальных магазинов возникают перед покупателем на мониторе.
К тому же Интернет позволяет производителям продавать свои товары потребителям напрямую, и отпадает необходимость в многочисленных посредниках и перекупщиках.
Электронная торговля быстро развивается. В российской сети каждый день появляются 200 новых сайтов с различными предложениями. По прогнозам специалистов, общий объем рынка Интернет-рекламы достигнет к 2003 году в России 150 млн долл.
Однако Интернет может быть источником опасности. Компьютер занимает большое место в реальном мире, очень многое находится под его управлением. Электронной коммерцией охвачены средний и большой бизнес. Главной проблемой электронной коммерции для юридических лиц является отсутствие в законе системы доказательств, принимаемых и применяемых в судебной практике при рассмотрении споров. Особая проблема - определение места совершенной сделки. А ведь от этого зависят и подсудность, и способы, и размеры налогообложения.
Нынешний уровень законодательной базы не позволяет эффективно решать, когда возникает в этом необходимость, вопросы о месте совершения сделки, месте разрешения спора. Отсутствует ясность, что делать, если по заключенному контракту будет осуществлена оплата продукции и не будет начата ее отгрузка...
...При рассмотрении споров, связанных с электронной коммерцией, серьезной помехой является то, что законодательно не определена единая система принимаемых доказательств. Такие споры рассматривает в основном арбитражный суд. Как показывает практика, в исковых требованиях признать электронную сделку недействительной доказательствами служат электронные и письменные документы, Web-страница, заключение экспертизы".
Специалисты в области правового регулирования сделок в Интернете отмечают опасность, с которой может столкнуться каждый при совершении тех или иных сделок. Естественно, что обширные возможности сети не могут не привлекать тех, кто отдает предпочтение незаконным формам получения прибыли.
Так, в декабре сотрудники милиции по информации службы безопасности интернет-холдинга eHouse задержали гражданина, который с помощью нескольких похищенных за рубежом кредитных карт совершил хищения из магазина Bolero посредством карточки платежной системы WebMoney: сделал около 30 заказов на общую сумму более 15 тыс.долл. Подозрение у менеджеров магазина вызвало большое количество заказов, поступивших от одного человека, за короткий промежуток времени. При первых же фактах, которые подтвердили подозрения, служба безопасности интернет-холдинга передала информацию в правоохранительные органы.
Проблема безопасности интернет-платежей является основной для виртуальных магазинов. Ведь данные специальных карт, предназначенных для оплаты покупок в Интернете, подчас становятся добычей мошенников. Иногда их воруют прямо из баз данных магазинов. А некоторые преступники специально "открывают" виртуальные магазины, реально ничем не торгующие, для сбора информации о картах, предназначенных для безналичных платежей через Интернет. Поэтому для России основным способом платежей остается оплата товара наличными курьеру в момент доставки.
В августе 2000 года сотрудники столичных правоохранительных органов задержали с поличным двух граждан 19 и 27 лет, занимавшихся воровством в российской части сети Интернет реквизитов пользователей карт для безналичных платежей через Интернет с целью их дальнейшей перепродажи. Хакеры заманивали пользователей сети на свой сайт, предлагая различную интересную информацию. При посещении сайта мошенников пароли считывались вирусом " Троянский конь" и продавались затем с электронного аукциона по демпинговым ценам (по 15 долл., в то время как официальная цена паролей почти в 3 раза выше). По приблизительным подсчетам пользователям был нанесен совокупный ущерб в сумме более 20 тыс. долл.
Ответственность за совершение данного преступления предусмотрена ст.159УК РФ. Мошенничество - это хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием. Под хищением понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.