Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Глава 3. Персональные данные

С наступлением эры компьютеров, а потом и эры телекоммуникационных технологий, доступ к информации, ее объемы, возможность быстро получать и компилировать данные из десятков разных источников привели к тому, что технологическое количество породило новое качество.

Если раньше бумажные документы ограничивали использование в полной мере персональных данных, хранящихся на этих носителях, то с наступлением компьютерной эры, особенно с развитием Интернета, появились почти неограниченные возможности поиска, сортировки, обобщения, копирования и вторичного использования документов.

Данное обстоятельство, с одной стороны, увеличивает важность персональных данных, как фактора экономической, социальной и культурной жизни, с другой стороны способно кардинально и в наихудшей мере повлиять на право каждого защитить свои права и свободы.

Наконец, доступность персональных данных и связанная с ней открытость частной жизни могут привести и часто приводят не только к правонарушениям, но и к тяжким преступлениям, жертвами которых становятся граждане.

Можно перечислить основные факторы, способствующие возникновению и развитию оборота персональных данных:

- данные в подавляющем большинстве стали представляться и обрабатываться в электронном виде;

- стало легко комбинировать данные, полученные из разных баз данных (источников);

- возросшая скорость компьютеров позволяет производить любую необходимую обработку информации, содержащей персональные данные;

- стоимость хранения данных и доступа к их массивам резко снизилась;

- персональные компьютеры превратились в общедоступное средство;

- возникший Интернет завершил формирование среды информационного обмена, связанного с персональными данными.

Есть все основания полагать, что оборот персональных данных в России по вполне объективным причинам будет неуклонно расти. Одновременно с ростом потребностей в персональных данных и увеличением оборота этих данных будет расти и число преступлений, связанных с ними. Все это заставляет самым пристальным образом рассматривать правовые вопросы, связанные с персональными данными.

Сферы обращения персональных данных всеобъемлющи. В оборот персональных данных включены все:

- сам гражданин (субъект персональных данных);

- общество в целом и другие граждане;

- государство, как многослойная и многофункциональная управляющая структура;

- бизнес.

Соответственно, все участники оборота связаны между собой подчас весьма сложными взаимными отношениями, которые схематично можно показать на следующем рисунке.

В центре (треугольника) этих отношений находится субъект персональных данных, соединенный с государством, обществом, отдельными гражданами и бизнесом множеством формальных и неформальных связей.

Рис. 1. Схема связей с субъектом персональных данных

Такими же связями соединены все остальные субъекты отношений:

- Субъект персональных данных – другой гражданин. Существует множество случаев и причин, по которым один гражданин на законных основаниях нуждается в определенных сведениях о другом гражданине. Оказавшимся в разных городах друзьям необходимо найти друг друга, пациенту нужно знать о наличии лицензии у частнопрактикующего врача, покупателю недвижимости необходимо знать о всех имущественных правах, которые существуют в отношении интересующего его объекта недвижимости.

- Субъект персональных данных – общество. Общество, как совокупность граждан, испытывает определенную потребность в получении информации, что выражено емким термином «свобода слова» и реализовано в связанной с этой свободой деятельности средств массовой информации. Материалы средств массовой информации содержат, в том числе, огромное количество персональной информации. Кроме этого, к общественным интересам может быть отнесена деятельность писателей и ученых, которые в силу своей профессии могут сталкиваться с необходимостью получения и использования персональной информации. Важность соотношения персональных данных и деятельности средств массовой информации была отражена в официальных европейских документах.

- Субъект персональных данных – бизнес. Интересы большинства коммерческих организаций требуют знания персональной информации о тех лицах, с которыми им приходится иметь дело. Поэтому большинство из этих коммерческих организаций не только получают необходимую им информацию от своих клиентов, но и используют различные иные источники получения такой информации. Этими источниками являются как базы данных других коммерческих организаций, так и базы данных, находящиеся в распоряжении у государства, а также общедоступные источники информации.

- Субъект персональных данных – государство. Государство в совокупности было и остается основным и самым большим держателем и потребителем персональных данных. Это обусловлено теми публичными функциями, которые выполняет государство. Чаще всего выполнение этих функций требует обязательного предоставления гражданами их персональных данных государственным ведомствам, что, в свою очередь, предопределяет тотальность многих из тех баз персональных данных, которыми распоряжается государство (например, налоговые органы или органы, ответственные за регистрацию актов гражданского состояния).

- Общество – государство. Государство несет множество обязанностей по отношению к обществу, обладая при этом адекватными этим обязанностям полномочиями. В первую очередь, это обязанности по поддержанию общественной безопасности. Кроме случаев, когда полномочия государства связаны с правоприменением в отношении конкретного гражданина, государству предоставлены такие полномочия, как осуществление видеонаблюдения в общественных местах, определенный контроль за информационными потоками в Интернете и пр. Все это ставит общий вопрос о взаимоотношениях между обществом и государством в терминах получения и использования персональных данных граждан.

- Общество – бизнес. Несмотря на то, что основным объектом защиты являются права конкретного гражданина, задача защиты этих прав часто и неизбежно выходит далеко за рамки двухсторонних отношений. Некоторые проблемы, в частности, такие, как взаимоотношения между работником и работодателем, не могут быть в полной мере решены на двухсторонней основе и требуют решения в рамках иногда очень больших коллективов. Наконец, в тех сферах, которые принципиально не являются «вотчиной» бизнеса, в частности в Интернете, как не только информационном, но и общественном явлении, взаимоотношения между обществом и бизнесом в части получения и использования персональных данных должны соответствовать определенным правовым нормам.

- Бизнес – государство. С точки зрения персональных данных, бизнес соединяет с государством множество нитей. Работодатель обязан в соответствии с законом исполнять определенные обязанности, связанные, например, с перечислением налогов в качестве налогового агента. Тот же работодатель может нуждаться в помощи государства тогда, когда имеет законные основания подозревать своего работника в нарушении своих прав, в частности права собственника. Банки обязаны сообщать госорганам определенные подробности о частных вкладах граждан, размещенных на счетах банка. С другой стороны бизнес нуждается в той персональной информации, которая находится в распоряжении у государства.

Все эти отношения порождают массу конкретных проблем, в целом объединенных общими свойствами.

В первую очередь, они затрагивают интересы самого гражданина, находящего в центре отношений, и, в конечном итоге, его права и свободы, гарантированные Конституцией.

Во вторых – и это не менее значимо – эти отношения связаны с реализацией прав (или полномочий) других участников отношений, также определенных и/или гарантированных Конституцией. Это порождает разнообразные и многочисленные конфликты интересов, одной из сторон которых является субъект персональных данных, другой – все остальные субъекты отношений. Очевидно, что сложность и многоплановость этих конфликтов не предполагает простое или тривиальное их решение. Это обстоятельство отражено и в международных документах, посвященных персональным данным:

В третьих, отношения гражданина-субъекта персональных данных с остальными субъектами (обществом, государством, бизнесом), несмотря на специфику каждых из этих отношений, обладают для него одинаковой значимостью. Человек в равной степени является экономическим субъектом, членом общества и «подданным государства».

Современная система европейского законодательства о персональных данных основана на нескольких международных документах. Два из них имеют особый статус.

Евроконвенция – Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных (1981 год). Для России этот документ имеет принципиальное значение не только потому, что она входит в Совет Европы, но и в силу того, что национальные законы, принимаемые в соответствии с Евроконвенцией, напрямую запрещают частному сектору и госведомствам трансграничную передачу персональных данных в страны, в которых нет адекватного правового режима защиты.

Евродиректива. В 1995 году Европейский парламент и Совет Европейского союза приняли Директиву 95/46/ЕС о защите прав частных лиц применительно к обработке персональной информации данных и о свободном движении таких данных. По своему статусу Евродиректива является правовым стандартом, обязательным для применения в национальных законодательствах стран – членов Европейского союза

В настоящее время во многих европейских странах приняты национальные законы, которые подробно регламентируют все нюансы работы с персональными данными, разработаны рекомендации для операторов персональных данных, созданы соответствующие контролирующие органы. Российская Федерация, ратифицировав в 2005 году Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, также вошла в число стран, в основе законодательств которых, наравне с другими, лежит принцип обеспечения прав личности на защиту своих персональных данных. Евродиректива 95/46/ЕС является сегодня правовым стандартом, обязательным для применения в национальных законодательствах стран-членов Европейского союза, поэтому положения Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных во многом повторяют нормы, предусмотренные европейским законодателем, но в то же время российский закон имеет и ряд существенных отличий.

Федеральный закон № 24-фз от 20.02.95 «об информации, информатизации и защите информации»

Статья 11. Информация о гражданах (персональные данные)

1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством

3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.

5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных.

Заключение

В данном учебном пособии приводятся свойства информации как предмета защиты в информационных системах, системы автоматизированной обработки и обмена информацией как объекты ее защиты. Приводятся методики анализа и систематизации потенциальных угроз безопасности информации, современные методы и средства управления санкционированным доступом к информации. В доступном для студента изложении приводится анализ и методика анализа обеспечения рассматриваемых вопрос и задач в организации любого уровня, будь то государственная, корпоративная, банковская структура или коммерческая фирма. Наряду с практическим преломлением материала, представленным в пособии, более глубоко рассмотрена и теоретическая сторона. Определены предмет и объекты защиты, цели и задачи защиты, единые подход, концепция и принципы построения системы безопасности информации в информационных системах, сетях и компьютерных системах управления. Несомненным достоинством учебного пособия являются расчетные соотношения и формулы для расчета уровня прочности отдельных средств защиты и информационной системы в целом, что позволит специалистам определить уровень безопасности в конкретной функционирующей информационной системе, задать соответствующие показатели в техническом задании на разработку системы в будущем.

Приведенные и рекомендуемые для изучения подходы, концепция, принципы построения защиты информации и расчетные соотношения позволят независимо от вида, назначения и масштабов информационной системы создать на пути нарушителя и случайных воздействий строгую и управляемую систему равнопрочных и взаимосвязанных преград с возможностью обоснованного получения ее количественных и качественных параметров, отвечающих заданным требованиям по уровню безопасности обрабатываемой информации.

Особое внимание при изучении следует обратить на приведенные в пособии результаты системных исследований сущности проблемы: разработку полной и непротиворечивой концепции ее решения, применение которой в любой конкретной автоматизированной информационной системе позволит решить проблему в виде частного случая.

В настоящее время исследования и разработка защиты информации от несанкционированного доступа в информационных системах ведутся разными специалистами в основном по двум направлениям: территориально сосредоточенным информационным системам и распределенным информационным сетям. При этом используются где-то совпадающие и несовпадающие подходы, терминология и определения. При сопряжении данных систем системотехнические решения по реализации безопасности информации в них часто не стыкуются между собой, дублируют друг друга и вместе с тем не перекрывают возможные каналы несанкционированного доступа к информации.

Рассматриваемая в учебном пособии концепция безопасности информации одинаково эффективна в обоих направлениях и, следовательно, эффективно будет работать при сопряжении указанных информационных систем, хотя и есть различие в подходах, которые учитывают специфические принципы обработки и передачи данных, но не противоречат, а дополняют друг друга. Качество защиты при этом зависит от выбранного заказчиком информационной системы класса модели поведения потенциального нарушителя, уровня прочности установленных разработчиком средств защиты и обеспечения уровня автоматизации и централизации управления последними.

Предлагаемая для изучения в рамках концепции постановка задачи отличается от существующих постановок простотой, конкретностью и ясностью, а следовательно лучшей с точки зрения дидактики в учебном процессе. В ней обоснованно разделены задачи защиты от случайныхвоздействий на информацию и задачи преднамеренногонесанкционированного доступа к ней по причине различного характера происхождения событий и мест их проявления.

В пособии в основном рассматривалась задача защиты информации от преднамеренного несанкционированного доступа только от нарушителя в единственном числе, так как без ее решения невозможно решение задачи защиты от организованной группы нарушителей. Такой подход не исключает того, что системотехнические решения первой задачи могут быть эффективны и для защиты от неорганизованной группы нарушителей. Вопрос заключается лишь в том, какую ситуацию рассматривать и насколько велика вероятность ее появления в реальных условиях в конкретной информационной системе.

Рассматриваемые в данном пособии теория и принципы построения защиты отвечают привычному и понятному всем физическому смыслу, заключающемуся в создании замкнутой оболочки, прочность которой определяется ее слабейшим звеном, этот принцип позволит специалисту подойти с единой мерой к расчету и оценке ожидаемой эффективности защиты информации от несанкционированного доступа на любом уровне работы с ней, начиная с персонального компьютера и кончая глобальными сетью и автоматизированной системой управления.

В учебном пособии ставилось задачей дать единый учебный материал для понимания студентом, как теоретических вопросов, так и их практической реализации. Рассмотрение некоторых вопросов пришлось ограничить по глубине рассмотрения. Здесь авторы отсылают пытливого студента к существующим монографиям и практическим руководствам соответствующего направления, в том числе и для ограниченного использования.

В приведенных методиках используется метод экспертных оценок, но объем его применения по сравнению с существующими методами значительно сокращен, а характер экспертных оценок изменен в техническую сторону, что позволяет получить более точный результат оценки. С увеличением объемов автоматизации процессов контроля доступа результаты оценок прочности защиты станут еще точнее.

Использование в оценке прочности защиты фактора времени предоставляется более удачным, чем фактор стоимости. Известно, что стоимостная оценка информации и соответствующих затрат на несанкционированный доступ к ней потенциального нарушителя может быть весьма приблизительной и пока практических методик, определяющих такие затраты, не существует. Для больших систем подобная работа, учитывая динамику движения информации и изменения ее цены, вообще вряд ли целесообразна.

Известно, что временной фактор уже используется при оценке стойкости криптографических средств защиты, что говорит в пользу решения приводимого в пособии. В результате использована возможность применения общих для всех средств защиты принципов расчета и оценки их прочности с помощью одной широко известной единицы измерения — вероятности наступления события.

Приведенная в пособии концепция безопасности информации позволит будущему специалисту научиться быстро ориентироваться в решении таких задач как:

 юридически строго и конкретно обозначить предмет защиты, сосредоточить на его защите и устранить избыточность применяемых средств защиты;

 провести глубокий и всесторонний анализ разрабатываемой информационной системы на предмет выявления возможных каналов несанкционированного доступа к информации в соответствии с заданной моделью поведения потенциального нарушителя;

 выбрать готовые и разработать на основе предлагаемых расчетных соотношений новые средства защиты с получением гарантированных показателей их прочности;

 создать обоснованную замкнутую оболочку защиты с гарантированными показателями ее прочности;

 увидеть единую для всех информационных систем теорию защиты информации от несанкционированного доступа;

 упростить систему защиты информации в сетях передачи данных;

 сократить количество экспертных оценок эффективности средств защиты и упростить их методику;

 на основе более точных расчетов получить значительное повышение уровня безопасности информации в разрабатываемых и монтируемых информационных системах.

 формирование единого информационного и лингвистического обеспечения системы безопасности информации в информационных системах;

 поиск унификации и стандартизации методов и средств защиты информации;

 поиск методов сертификации информационных систем в интересах определения в них гарантированного уровня безопасности информации;

 выработка типовых требований к аппаратуре, программному обеспечению и организационным мероприятиям для обеспечения в информационной системе необходимой безопасности информации.

Авторы надеются, что изложенный выше учебный материал позволит будущим и действующим специалистам соответствующего профиля быстро сориентироваться в преимуществах и недостатках множества предлагаемых на рынке решений по обеспечению безопасности информационных систем и управлению доступом в них и принять единственно правильное решение. Права на ошибку у специалиста по информационной безопасности нет, за ней стоит неприкосновенность информации организации-собственника.