Новые информационные технологии, органически встраиваясь в информационные системы экономических объектов и повышая эффективность и качество их работы, породили и проблемы обеспечения информационной безопасности. Возникли мало изученные информационные угрозы, реализация которых может приводить к непредсказуемым и даже катастрофическим последствиям, сводя на нет все усилия по повышению эффективности управления экономическим объектом. Ежегодный ущерб от компьютерных злоупотреблений только в США составляет от 100 млн. до 7.5 млрд. долларов. Утечка только 20 процентов коммерческой информации в 60 случаях из 100 приводит к банкротству фирм.
Первоначально, столкнувшись с компьютерной преступностью, органы уголовной юстиции начали борьбу с ней при помощи традиционных норм о краже, присвоении, мошенничестве, злоупотреблении доверием и др. Однако такой подход оказался не вполне удачным, поскольку многие компьютерные преступления не охватываются составами традиционных преступлений.
Несоответствие криминологической реальности и уголовно-правовых норм потребовало развития последних. Развитие это происходит в двух направлениях:
более широкое толкование традиционных норм;
разработка специализированных норм о компьютерных преступлениях.
В передовых странах Запада процесс этот идет уже не один десяток лет: в США — с конца 70-х гг., в Великобритании — с конца 80-х.
Впервые подобный шаг был предпринят законодательными собраниями американских штатов Флорида и Аризона уже в 1978 г. Принятый закон назывался «Computer crime act of 1978» и был первым в мире специальным законом, устанавливающим уголовную ответственность за компьютерные преступления. В частности, в соответствии с ним противоправные действия, связанные с модификацией, уничтожением, несанкционированным доступом или изъятием компьютерных данных, программ или сопутствующей документации признавались преступлениями и наказывались пятью годами лишения свободы либо штрафом в размере 5000 долл. или тем и другим одновременно в зависимости от тяжести причиненного жертве ущерба.
Те же действия, совершенные с целью хищения какой-либо собственности, наказывались 15 годами лишения свободы либо штрафом в размере 10 000 долл., или тем и другим одновременно. (…)
Затем практически во всех штатах США (в 45 штатах) были приняты аналогичные специальные законодательства. Эти правовые акты стали фундаментом для дальнейшего развития законодательства в целях осуществления мер предупреждения компьютерных преступлений. На их правовой базе в первой половине 80-х гг. было разработано федеральное законодательство США, посвященное регулированию правовых вопросов этой проблемы. Данное законодательство было принято Федеральным собранием США в 1984 г. и называлось «Comprehensive crime control act of 1984». В него, в частности, входил первый федеральный закон США по борьбе с компьютерной преступностью, который получил название «Закон об использовании электронных устройств, обеспечивающих несанкционированный доступ к ЭВМ, злоупотреблениях и мошенничестве с помощью компьютеров».
В итоге уже в начале 90-х гг. в США действовали следующие законы: Федеральный закон об ответственности за преступления, связанные с компьютерами; Закон о поддельных средствах доступа, компьютерном мошенничестве и злоупотреблении; Федеральный закон о частной тайне.
Одним из важных шагов в законотворческой деятельности являются принятый сенатом США законопроект о «Об экономическом шпионаже», в соответствии с которым тюремное заключение сроком до 25 лет и штраф до 250 тысяч долларов грозит тем, кто запускает вирусы в компьютерные сети, используемые правительством и финансовыми институтами Америки , а также Акт об экономическом шпионаже, в котором кража информации, представленная в электронном виде, официально признается преступлением .
Преступления, совершаемые с помощью компьютера в финансово- кредитной системе, в особенности отмывание денег, нажитых преступным путем, приняли мировой масштаб. Законодатели, стараясь обезопасить свои страны от его проникновения, издали ряд законов, направленных на организацию контроля государственными органами и банками вкладов и денежных переводов граждан. Что же предусматривается в этой связи в США:
каждое финансовое учреждение должно предоставлять службе казначейства (агенству внутренних дел) декларацию для совершения различных банковских операций на сумму более 10 тыс. долларов;
игорные дома с общим годовым доходом свыше одного миллиона долларов вносятся в список финансовых организаций, которые обязаны регистрировать денежные операции на сумму свыше 10 тыс. долларов;
министр финансов уполномочен выплачивать вознаграждение лицам, которые предоставляют ему сведения (из первых рук) о нарушении финансовой дисциплины при совершении операций на сумму свыше 50 тыс. долларов. Вознаграждение ограничивается либо 25% конфискованной суммы, либо 150 тыс. долл.
Попытки регулирования отношений в сфере компьютерной информации уже не один десяток лет предпринимаются не только в США, но и в других развитых странах.
Примером такого регулирования может стать соответствующее законодательство ФРГ. В 1986 г. Бундестагом был принят второй закон о борьбе с экономической преступностью, которым в Уголовный кодекс было введено семь новых параграфов, содержащих описание компьютерных преступлений. В частности, § 202а УК ФРГ предусматривает уголовную ответственность лиц, неправомочно приобретавших для себя или иного лица непосредственно не воспринимаемые, записанные в устройства памяти либо переданные данные, специально защищенные от несанкционированного доступа. Состав так называемого компьютерного мошенничества изложен в § 263 а, в соответствии с которым уголовной ответственности подлежат лица, оказавшие влияние на результаты процесса обработки информации путем неправильного оформления программ (манипуляцией с программным обеспечением).
Российская действительность не является исключением и каждодневно приносит новые примеры преступлений в сфере информатизации и компьютеризации. Последние потребовали от российского законодателя принятия срочных адекватных правовых мер противодействия этому новому виду преступности.
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается
Лазарев А. Статья для хакера // весь компьютерный мир, 1997, №1. С.9.
Фемида США не успевает // Компьютера, 1996, № 49. С.8.
обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:
меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Российской Федерации.
В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.
В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».
В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.
Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.
С принятием в 1992 г. Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».
Кодекс РФ об административных правонарушениях устанавливает
ответственность за нарушение законодательства в области защиты информации.
Статья 13.12 предусматривает ответственность за нарушение правил защиты информации:
- 1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), — влечет наложение административного штрафа на граждан в размере от 3 до 5 МРОТ; на должностных лиц — от 5 до 10 МРОТ; на юридических лиц — от 50 до 100 МРОТ.
- 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от 10 до 20 МРОТ; на юридических лиц — от 100 до 200 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой.
Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, — влечет наложение административного штрафа на должностных лиц в размере от 20 до 30 МРОТ; на юридических лиц — от 150 до 200 МРОТ.
Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет наложение административного штрафа на должностных лиц в размере от 30 до 40 МРОТ; на юридических лиц — от 200 до 300 МРОТ с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.13 предусматривает ответственность за незаконную деятельность в области защиты информации.
Занятие видами деятельности в области защиты информации без получения установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), — влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ с конфискацией средств защиты информации или без таковой; на должностных лиц — от 20 до 30 МРОТ с конфискацией средств защиты информации или без таковой; на юридических лиц — о 100 до 200 МРОТ с конфискацией средств защиты информации или без таковой.
Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии, — влечет наложение административного штрафа на должностных лиц в размере от 40 до 50 МРОТ; на юридических лиц — от 300 до 400 МРОТ с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.
В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.
В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.
Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др. Правда, положения этого закона носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно (прил. №1).
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отводилась Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехкомиссии) при Президенте РФ.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами.
Самое важное на законодательном уровне — создать механизм, позволяющий согласовать процесс разработки законов с реалиями информационных технологий. Конечно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации». Но начавшаяся работа нового УК РФ сразу же поставила ряд сложных вопросов перед наукой уголовного права и практикой ее применения. Нерешенные противоречия возникают при юридическом анализе преступлений в сфере компьютерной информации, а также во время проведения квалификации указанного вида преступлений.
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).
Доктрина информационной безопасности Российской Федерации (далее — Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ (прил. №4).
Доктрина на многие годы вперед служит основой для:
формирования государственной политики в области обеспечения информационной безопасности РФ;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
разработки целевых программ обеспечения информационной безопасности РФ;
Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере.
На основе первоочередных мероприятий, перечисленных в Доктрине, предлагается разработка соответствующей федеральной программы, а также ряда развивающих ее документов, утверждаемых Президентом РФ.
2002 г. принят Закон «Об электронной цифровой подписи», необходимый для развития системы электронных платежей.
целях защиты информационных ресурсов РФ необходимо: повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов РФ, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных
программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну; расширять международное сотрудничество РФ в области развития и безопасного использования информационных ресурсов,
противодействия угрозе развязывания противоборства в информационной сфере.
осуществить мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органов государственной власти субъектов РФ, на предприятиях, в учреждениях организациях независимо от формы собственности; развернуть работы по созданию защищенной информационнотелекоммуникационной системы специального назначения в интересах органов государственной власти.
Обеспечение информационной безопасности РФ в сфере экономики играет ключевую роль в обеспечении национальной безопасности РФ.
Воздействию угроз информационной безопасности РФ в сфере экономики наиболее подвержены:
система государственной статистики;
кредитно-финансовая система;
информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Основными мерами по обеспечению информационной безопасности в сфере экономики являются:
организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;
разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;
совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188 (прил. №2).
Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:
Уставе и/или учредительном
договоре; коллективном договоре;
правилах внутреннего трудового распорядка;
должностных обязанностях сотрудников;
специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);
договорах со сторонними организациями;
трудовых договорах с сотрудниками; иных
индивидуальных актах.
No responses yet