Защита информации

Вопросы:

1. Правое определение понятия конфиденциальной информации. Сведения, относимые к КИ

2. Законодательные и правовые акты по защите КИ

3. Подзаконные акты по ЗКИ

1.

Закон "Об информации, информационных технологиях и о защите информации".

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие основные понятия:

1) информация - сведения (сообщения, данные), независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использования;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

2. Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

3. Информация, в зависимости от порядка ее предоставления или распространения, подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.

Статья 8. Право на доступ к информации

1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

4. Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

2. Конституция РФ:

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом ГК РФ:

Статья 139. Служебная и коммерческая тайна

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Статья 727. Конфиденциальность полученной сторонами информации

Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.

Порядок и условия пользования такой информацией определяются соглашением сторон.

Статья 771. Конфиденциальность сведений, составляющих предмет договора

1. Если иное не предусмотрено договорами на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре.

2. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.

Статья 857. Банковская тайна

1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом.

3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

УПК РФ:

Статья 12. Неприкосновенность жилища, охрана личной жизни и тайны переписки

Гражданам гарантируется неприкосновенность жилища. Никто не имеет права без законного основания войти в жилище против воли проживающих в нем лиц.

Личная жизнь граждан, тайна переписки, телефонных переговоров и телеграфных сообщений охраняются законом.

Обыск, выемка, осмотр помещения у граждан, наложение ареста на корреспонденцию и выемка ее в почтово - телеграфных учреждениях могут производиться только на основаниях и в порядке, установленных настоящим Кодексом.

Статья 139. Недопустимость разглашения данных предварительного следствия

Данные предварительного следствия могут быть преданы гласности лишь с разрешения следователя или прокурора и в том объеме, в каком они признают это возможным.

В необходимых случаях следователь предупреждает свидетелей, потерпевшего, гражданского истца, гражданского ответчика, защитника, эксперта, специалиста, переводчика, понятых и других лиц, присутствующих при производстве следственных действий, о недопустимости разглашения без его разрешения данных предварительного следствия. От указанных лиц отбирается подписка с предупреждением об ответственности статьей 310 Уголовного кодекса Российской Федерации. (в ред. Федерального закона от 21.12.96 N 160-ФЗ) (см. текст в предыдущей редакции) (в ред. Указа Президиума Верховного Совета РСФСР от 31.08.66 - Ведомости Верховного Совета РСФСР, 1966, N 36, ст.1018)

Статья 302. Тайна совещания судей

Приговор постановляется судом в совещательной комнате. Во время совещания судей в совещательной комнате могут находиться лишь судьи, входящие в состав суда по данному делу. Присутствие иных лиц не допускается.

С наступлением ночного времени суд вправе прервать совещание для отдыха. Судьи не могут разглашать суждения, имевшие место во время совещания.

Статья 452. Тайна совещания присяжных заседателей

Присяжные заседатели не могут разглашать суждения, имевшие место во время совещания.

УК РФ:

Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста до трехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до трех месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от двух до четырех месяцев.

3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Статья 155. Разглашение тайны усыновления (удочерения)

Разглашение тайны усыновления (удочерения) вопреки воле усыновителя, совершенное лицом, обязанным хранить факт усыновления (удочерения) как служебную или профессиональную тайну, либо иным лицом из корыстных или иных низменных побуждений, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

Статья 310. Разглашение данных предварительного расследования

Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо исправительными работами на срок до двух лет, либо арестом на срок до трех месяцев.

Статья 311. Разглашение сведений о мерах безопасности, применяемых в отношении судьи и участников уголовного процесса

1. Разглашение сведений о мерах безопасности, применяемых в отношении судьи, присяжного заседателя или иного лица, участвующего в отправлении правосудия, судебного пристава, судебного исполнителя, потерпевшего, свидетеля, других участников уголовного процесса, а равно в отношении их близких, если это деяние совершено лицом, которому эти сведения были доверены или стали известны в связи с его служебной деятельностью, - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев, либо ограничением свободы на срок до двух лет, либо арестом на срок до четырех месяцев.

2. То же деяние, повлекшее тяжкие последствия, - наказывается лишением свободы на срок до пяти лет.

Статья 320. Разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа

1. Разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа, а также его близких, если это деяние совершено в целях воспрепятствования его служебной деятельности, - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев либо арестом на срок до четырех месяцев.

2. То же деяние, повлекшее тяжкие последствия, - наказывается лишением свободы на срок до пяти лет.

КоБС:

Статья 110. Обеспечение тайны усыновления

Тайна усыновления охраняется законом. Для обеспечения тайны усыновления по просьбе усыновителя может быть изменено место рождения усыновленного ребенка, а также в исключительных случаях дата его рождения, но не более чем на шесть месяцев. Об изменении места и даты рождения должно быть указано в решении об усыновлении.

Воспрещается без согласия усыновителей, а в случае их смерти без согласия органов опеки и попечительства сообщать какие-либо сведения об усыновлении, а также выдавать выписки из книг регистрации актов гражданского состояния, из которых было бы видно, что усыновители не являются кровными родителями усыновленного.

Лица, разгласившие тайну усыновления против воли усыновителя, могут быть привлечены к ответственности в установленном законом порядке.

3.

УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

Вопросы:

1. Преступления в сфере компьютерной информации

Ответственность за преступления в сфере к. и.

Подзаконные и ведомственные акты в области защиты к. и.

4. Предупреждение нарушений норм защиты информации

1.

Родовым объектом преступлений в сфере компьютерной информации выступает совокупность специфических общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Именно поэтому рассматриваемая группа преступлений помещена в раздел 9 Особенной части УК - "Преступления против общественной безопасности и общественного порядка".

Отличительный признак компьютерных преступлений - особый предмет посягательства. Компьютерная информация как предмет преступного посягательства может содержаться (находиться) как на машинном носителе, так и в памяти ЭВМ, циркулировать по каналам связи, объединяющим ЭВМ в единую систему или сеть.

Преступления, имеющие своим предметом не компьютерную информацию, а электронно-вычислительную технику как аппаратную структуру, подпадают под совершенно иной вид правонарушений, посягающих на охраняемые уголовным законом отношения собственности. Например, если виновный сжигает микропроцессор, выводит из строя монитор или похищает ЭВМ, то содеянное надлежит квалифицировать по соответствующим статьям главы 21 Особенной части УК РФ.

В принципе, можно предположить случаи, когда вредоносное воздействие на ЭВМ осуществляется путем непосредственного влияния на нее информационных команд. Это возможно, если преступнику удается ввести движущиеся части машины (диски, принтер) в резонансную частоту, увеличить яркость дисплея или его части для прожигания люминофора, зациклить работу компьютера таким образом, чтобы при использовании минимального количества его участков произошел их разогрев и вывод из строя. Однако в этих случаях преступному посягательству подвергаются сразу два объекта уголовно-правовой охраны. Именно поэтому квалификацию содеянного надлежит проводить по совокупности преступлений: против собственности и в сфере компьютерной информации.

Почти все составы преступлений в сфере компьютерной информации относятся к преступлениям небольшой (ч.1 ст.272 и ч.1 ст.274 УК) и средней (ч.2 ст.272, ч.3 ст.273 и ч.2 ст.274 УК) тяжести, и только один состав (ч.2 ст.273 УК) - к тяжким преступлениям.

Общественно опасные деяния чаще всего выступают в форме активных действий и лишь иногда - как бездействие. Примером последнего может служить пассивная деятельность лица, выраженная в несоблюдении установленных правил эксплуатации ЭВМ, системы ЭВМ или их сети (например, лицо не проверяет машинный носитель информации на наличие вредоносной программы).

Определенную сложность может вызвать вопрос, связанный с установлением места совершения компьютерного преступления. С развитием информационных сетей, объединивших пользователей практически из всех развитых стран мира, место совершения общественно опасного деяния все реже может совпадать с местом реального наступления общественно-опасных последствий. Действующее уголовное законодательство не содержит прямых указаний относительно этого вопроса. Но по мнению многих ученых местом компьютерного преступления следует признавать территорию того государства, где совершены общественно опасные деяния независимо от места наступления преступных последствий.

С субъективной стороны преступления в сфере компьютерной информации характеризуются виной в форме умысла.

Факультативные признаки субъективной стороны компьютерных преступлений для квалификации значения не имеют, но учитываются судом в качестве смягчающих или отягчающих обстоятельств при назначении виновному наказания. По данным В.П. Панова, соотношение корысти с другими мотивами компьютерных преступлений составляет 66%. В течение длительного времени в филиале Калифорнийского университета в Лос-Анджелесе действовала группа преступников, продававшая изготовленные по последнему слову техники фальшивые дипломы и документы о присвоении ученого звания. За 25 тысяч долларов любой желающий мог получить "высшее образование" или стать "профессором". Расследованием установлено, что преступники сумели проникнуть в память университетской ЭВМ, в которой хранился весь массив информации о выпускниках и научных сотрудниках этого учебного заведения. С помощью особых кодов они вводили в ЭВМ данные о псевдовыпускниках университета, на основании которых компьютер автоматически выдавал необходимый документ.

Наряду с корыстью, мотивами компьютерных преступлений могут быть хулиганские побуждения, спортивный интерес, чувство мести и т.д. Например, практике известен случай, когда группа студентов, подключившись к ЭВМ одного западноевропейского военного ведомства, получила возможность повышать людей в звании, назначать на новые должности с баснословным жалованием и т.д. Следует иметь в виду, что компьютеризация все шире проникает в экспертную деятельность органов государственной власти. В частности, в настоящее время достаточно широкую известность приобрели автотранспортные экспертизы, проводимые с использованием компьютерной техники. Поэтому нельзя исключать возможность совершения рассматриваемых деяний с целью скрыть другое преступление.

2.

Ответственность за преступления в сфере компьютерной информации в качестве субъекта могут нести физические вменяемые лица, достигшие 16-летнего возраста.

На основе проведенного анализа признаков компьютерных преступлений их определение можно сформулировать следующим образом. Преступлениями в сфере компьютерной информации являются умышленно совершенные общественно опасные деяния, запрещенные уголовным законом под угрозой наказания, посягающие на общественные отношения по правомерному и безопасному использованию компьютерной информации., посредством прямого воздействия на нее.

УК РФ:

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

3.

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ РЕШЕНИЕ № 61 " " октября 1997 г. "О защите информации при вхождении России в международную информационную систему "Интернет"

ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТСредства антивирусной защиты. Показатели защищенности и требования по защите от вирусов.

Настоящий руководящий документ устанавливает классификацию антивирусных средств (АВС), и требования по антивирусной защите информации в автоматизированных системах (АС) различных классов защищенности.

Под АВС в данном документе понимается ориентированное на применение в составе конкретных АС программное (программно-аппаратное или аппаратное) средство защиты от вирусов и вирусоподобных воздействий. При использовании АВС совместно со средствами защиты от НСД, допускается выполнение отдельных требований за счет функций используемых средств защиты от НСД. Руководящий документ разработан в дополнение к РД “СВТ. Защита от НСД... ”. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АВС при формулировании и реализации требований по антивирусной защите.

РУКОВОДЯЩИЙ ДОКУМЕНТ СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. МЕЖСЕТЕВЫЕ ЭКРАНЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТНЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. ”, М., Военное издательство, 1992 и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", М., Военное издательство, 1992.

Документ предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.

4. Правовые основы выявления и предупреждения утечки охраняемой информации. Правовое регулирование организации и проведения административного расследования по фактам нарушения установленного порядка ЗИ

Правовые основы выявления и предупреждения утечки.

Право является эффективным регулятором социального развития всех общественных отношений, включая те, которые складываются в сфере предупреждения преступности.

Сразу оговоримся: не всякое нарушение норм защиты информации является преступлением, но речь будет идти о преступлениях, как самых тяжких правонарушениях.

Наука, изучающая преступление, называется - криминология. Буквально, в переводе - учение о преступлении. Однако, фактическое содержание науки криминологии гораздо шире и многоаспектнее. Криминология изучает преступность, виды преступности, преступления; их причины, иные виды их взаимосвязей с различными явлениями и процессами; результативность принимавшихся мер по борьбе с преступностью.

Право способствует реализации антикриминогенного потенциала всего общества.

Правовая основа предупреждения преступности имеет сложную структуру, включает в себя нормы различных отраслей права.

Важные положения, определяющие роль и значение предупредительной деятельности, ее содержание и направленность, обязательное соответствие принципам справедливости, гуманности, законности, содержатся в ряде международных правовых актов.

Базисное значение для правового обеспечения мер предупреждения преступности имеет ряд положений Конституции РФ.

Значение уголовного права для правового регулирования предупреждения преступности определяется прежде всего тем, что его нормами очерчен круг деяний, запрещенных под угрозой уголовной ответственности. Предупредительный эффект уголовно-правовых норм достигается в том числе посредством их воздействия на правосознание граждан.

Способствует предупреждению преступности и весь процесс исполнения наказаний.

Большое значение для правового регулирования предупреждения преступлений имеют нормы уголовно-процессуального закона.

Нормы рассмотренных отраслей права несут основную нагрузку в деле юридического упорядочения процесса предупреждения преступности. Характер сложной предупредительной деятельности таков, что в ней находят применение нормы не только тех отраслей права, которые непосредственно нацелены на противодействие преступности, но и ряд других. Это нормы гражданского, семейного, финансового и других отраслей права.

Оптимальная организация предупредительной деятельности немыслима без ее всестороннего, качественного информационного обеспечения. Если иметь в виду правоохранительные органы, то следует сказать, что именно их предупредительная деятельность требует постоянного сбора и использования обширного круга сведений, относящихся не только к внутренней, но и внешней информации. Наряду с правовой и собственно криминологической это информация - экономическая, политическая, социальная, демографическая, социально-психологическая, технологическая и др.

Коснувшись общих вопросов предупреждения преступности, остановимся на предупреждении нарушений норм защиты информации на примере предупреждения неправомерного доступа к компьютерной информации (ст.272 УК РФ), так как это преступление имеет определенную специфику, характеризуется высочайшим уровнем латентности и низким уровнем раскрываемости (по данным зарубежной статистики из 10 обнаруженных преступлений раскрывается одно).

Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения, а в идеале - полного недопущения возможности неправомерного доступа к компьютерной информации, хранящейся на машинных носителях; а также к устройствам ввода данных в персональный компьютер и их получения.

Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст.20 Федерального закона "Об информации, информатизации и защите информации" являются:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз безопасности личности, общества и государства;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий, средств их обеспечения.

Для выполнения поставленных задач используются средства защиты информации - технические, криптографические, и другие средства, предназначенные для защиты сведений. Понятие защиты данных включает в себя как разработку и внедрение соответствующих методов защиты, так и их постоянное использование. Методы защиты компьютерной информации условно делятся на правовые, организационные и технические.

Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек, необходимо выделить специфические организационные и программно-технические средства их защиты. Организационная защита кредитных карт должна включать прежде всего проверку их обеспеченности. Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение. Кроме того, необходимо:

обеспечить секретность в отношении предельных сумм, свыше которых производится проверка обеспеченности карты;

регистрировать все операции с карточками;

ужесточить условия выдачи банками кредитных карт.

Программно-техническая защита электронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков, которые не могут быть скопированы, а также узора из полос, нанесенного магнитными чернилами и запрессованного в материал карточки; использовании современных материалов, отказе от видимой на карточке подписи ее владельца.

В соответствии со ст.21 Федерального закона "Об информации, информатизации и защите информации" контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляется органами государственной власти. Контроль проводиться в порядке, определяемом Правительством РФ. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Субъектами, осуществляемыми профилактику неправомерного доступа к компьютерной информации, являются:

Правоохранительные органы, поскольку профилактическая деятельность составляет обязательную часть правоохранительной деятельности. К ним относятся прокуратура, органы внутренних дел, налоговой полиции, федеральной службы безопасности.

Органы межведомственного контроля: Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ.

Органы исполнительной власти: Федеральное агентство правительственной связи и информации при Президенте РФ, Министерство связи и информатизации, Гостехкомиссия.

Международные органы и общественные организации: Международная академия информатизации.

Непосредственные руководители предприятий и организаций, в которых обращается конфиденциальная информация, ответственные сотрудники по информационной безопасности.

2. Правовое регулирование организации и проведения административного расследования по фактам нарушений

(На примере расследования НСД к компьютерной информации (к. и)).

Поводами к возбуждению уголовного дела по ст.272 УК будут являться:

сообщения должностных лиц организаций (более 1/3);

непосредственное обнаружение органом дознания, следователем или прокурором сведений, указывающих на признаки преступления;

заявления граждан;

сообщения в СМИ и др.

В зависимости от источника и содержания сведений о НСД к к. и. могут

складываться следующие проверочные ситуации:

НСД обнаружен при реализации к. и. незаконным пользователем.

2. НСД обнаружен законным пользователем по записи в автоматически ведущемся в компьютере "Журнале оператора" (журнале контроля доступа) без установления нарушителя.

3. НСД обнаружен законным пользователем с фиксацией на своем ПК данных о лице-нарушителе.

4. НСД обнаружен оператором на месте преступления.

5. Есть сведения об имевшем место НСД ("взломаны" терминалы и нарушители незаконно связываются с …).

В случае 5. требуется провести проверочные действия по ст.109 УПК: