Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Информация и информационная безопасность как предмет уголовно-правовой защиты.



 

Сегодня нормы, регламентирующие правовые аспекты деятельности электронно-вычислительной техники, предусматриваются в различных отраслях права.

Происходящая компьютеризация на просторах бывшего СССР, в том числе и в России достигла такого уровня, когда общественные отношения в этой сфере объективно требуют надлежащего уголовно-правового регулирования, так как наряду с позитивными она порождает и негативные явления, связанные со злоупотреблениями возможностями и средствами электронно-вычислительной техники.

По свидетельству экспертов из правоохранительных органов, самым лакомым сектором российской экономики для преступников является кредитно-банковская сфера. Анализ совершенных здесь за последнее время преступных деяний с использованием компьютерных технологий, а также неоднократные опросы представителей банковских учреждений позволяют выделить следующие наиболее типичные способы совершения компьютерных преступлений против банков и других финансовых учреждений.

Во-первых, все более распространенными становятся компьютерные преступления, совершаемые путем несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей.

Во-вторых, за последнее время не отмечено практически ни одного компьютерного преступления, которое было бы совершено одиночкой. Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову вычислительной техники, с тем, чтобы они осуществляли хищение крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.

В-третьих, большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков.

В-четвертых, все большее число компьютерных преступлений совершается в России с использованием возможностей, которые предоставляет своим пользователям глобальная компьютерная сеть Internet.

Таким образом, проблемы ответственности за преступления в сфере компьютерной информации порождены научно-техническим прогрессом, который и создал основу для возникновения отношений в области использования электронно-вычислительной техники.

Следует отметить, что «В современном мире информация уже давно приобрела товарный характер и выступает в качестве особого объекта договорных отношений, связанных с ее сбором, хранением, поиском, переработкой, распространением и использованием в различных сферах человеческой деятельности».[2] 

Существует довольно много критериев классификации информации.

В 1991 году была предложена следующая классификация коммерческой информации, которую можно «условно разделить на два укрупненных блока:

— научно-техническая, технологическая информация;

— деловая информация.

Каждый из них имеет свои разновидности.

Научно-техническая, технологическая информация включает:

— сведения о конструкции машин и оборудования (в том числе схемы и чертежи отдельных узлов, изделий), используемых материалах, их составах (химических и т.п.), методах и способах производства, дизайне и другие сведения о вновь разрабатываемых или производимых изделиях, технологиях, о путях и направлениях модернизации известных технологий, процессов и оборудования;

— программное обеспечение для ЭВМ и др.

Деловая информация включает:

— сведения о финансовой стороне деятельности предприятия (финансовая отчетность, состояние расчетов с клиентами, задолженность, кредиты, платежеспособность), о размере прибыли, себестоимости производимой продукции и др.;

— стратегические и тактические планы развития производства, в том числе с применением новых технологий, изобретений, ноу-хау и т.п.;

— планы и объемы реализации произведений продукции (планы маркетинга, данные о характере и объемах торговых операций, уровнях предельных цен, наличии товаров на складах и т.п.);

— анализ конкурентоспособности производимой продукции, эффективности экспорта и импорта, предполагаемое время выхода на рынок;

— планы рекламной деятельности;

— списки торговых и других клиентов, представителей, посредников, конкурентов; сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих контрактов и др.)».[3]

Из­вестно большое количество разноплановых угроз безопасности информа­ции различного происхождения. В качестве критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации (см. Приложение № 1).

Немаловажную роль играет политика информационной политики безопасности.

Политика информационной безопасности (ПИБ) – совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проек­тные решения в области защиты информации. На основе ПИБ строится управление, защита и рас­пределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Для конкретной информационной системы политика безопасности долж­на быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д. При разработке и проведении политики безопасности в жизнь целесообразно соблюдать следующие прин­ципы:

1) невозможность миновать защитные средства (все информационные потоки в за­щищаемую сеть и из нее должны проходить через систему защиты информации (СЗИ). Не должно быть «тайных» модемных входов или тес­товых линий, идущих в обход экрана);

2) усиление самого слабого звена (надежность любой СЗИ определяется самым сла­бым звеном. Часто таким звеном оказывается не ком­пьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобре­тает нетехнический характер );

3) недопустимость перехода в открытое состояние (при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ);

4) минимизация привилегий (предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполне­ния служебных обязанностей);

5) разделение обязанностей (предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это имеет особое значение для предотвращения злонамеренных или неквали­фицированных действий системного администратора);

6) многоуровневая защита (предписывает не полагаться на один защитный рубеж, каким бы надеж­ным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирова­ние и аудит. Эшелонированная оборона способна по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, суще­ственно затрудняет незаметное выполнение злоумыш­ленных действий);

7) разнообразие защитных средств (рекомен­дует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального зло­умышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой на­выками преодоления СЗИ);

8) Принцип простоты и управляемости информацион­ной системы в целом и СЗИ в особенности определяет возможность формального или неформального дока­зательства корректности реализации механизмов защи­ты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное админи­стрирование;

9) обеспечение всеобщей поддержки мер безопасно­сти (носит нетехнический характер. Рекомендуется с само­го начала предусмотреть комплекс мер, направленных на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое).

Основу политики безопасности составляет способ уп­равления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название это­го способа, как правило, определяет название полити­ки безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная (мандатная), основанные соответственно на избирательном и пол­номочном способах управления доступом (см. приложение №2).

 Избирательное управление доступом – метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит. Мандатное управление доступом – концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности. Кроме того, существует набор требований, усили­вающий действие этих политик и предназначенный для управления информационными потоками в системе.

Следует отметить, что средства защиты, предназна­ченные для реализации какого-либо из названных спо­собов управления доступом, только предоставляют воз­можности надежного управления доступом или информационными потоками. Определение прав дос­тупа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компе­тенцию администрации системы.


Поделиться:



Последнее изменение этой страницы: 2020-02-16; Просмотров: 156; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.02 с.)
Главная | Случайная страница | Обратная связь