Преступления в сфере компьютерной информации

4) несовершенство  парольной системы защиты от  несанкционированного доступа к  рабочей станции и ее программному  обеспечению, которая не обеспечивает  достоверную идентификацию пользователя  по индивидуальным биометрическим  параметрам;

5) отсутствие  должностного лица, отвечающего  за режим секретности и конфиденциальности  коммерческой информации;

6) отсутствие  категорийности допуска сотрудников  к документации строгой финансовой  отчетности;

7) отсутствие  договоров (контрактов) с сотрудниками  на предмет неразглашения коммерческой  и служебной тайны, персональных  данных и иной конфиденциальной  информации.

   Для  эффективной безопасности от  компьютерных преступлений необходимо:

1) просмотреть  всю документацию в учреждении, организации;

2) ознакомиться  с функциями и степенью ответственности  каждого сотрудника;

3) определить  возможные каналы утечки информации;

4) ликвидировать  обнаруженные слабые звенья в  защите.

Зарубежный  опыт показывает, что наиболее эффективной  мерой в этом направлении является введение в штатное расписание организации  должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных  служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие  такого отдела (службы) в организации  снижает вероятность совершения компьютерных преступлений вдвое. Кроме  этого, в обязательном порядке должны быть реализованы следующие организационные  мероприятия:

1) для всех  лиц, имеющих право доступа  к СКТ, должны быть определены  категории допуска;

2) определена  административная ответственность  для лиц за сохранность и  санкционированность доступа к  имеющимся информационным ресурсам;

3) налажен  периодический системный контроль  за качеством защиты информации  посредством проведения регламентных  работ как самим лицом, ответственным  за безопасность, так и с привлечением  специалистов;

4) проведена  классификация информации в соответствии  с ее важностью;

5) организована  физическая защита СКТ (физическая  охрана).

Помимо организационно-управленческих мер, существенную общепрофилактическую роль в борьбе с компьютерными  преступлениями могут играть также  меры технического характера. Условно  их можно подразделить на три основные группы в зависимости от характера  и специфики охраняемого объекта, а именно: аппаратные, программные  и комплексные.

   Аппаратные  методы предназначены для защиты  аппаратных средств и средств  связи компьютерной техники от  нежелательных физических воздействий  на них сторонних сил, а также  для закрытия возможных нежелательных  каналов утечки конфиденциальной  информации и данных, образующихся  за счет побочных электромагнитных  излучений и наводок, виброаккустических  сигналов, и т.п. Практическая  реализация данных методов обычно  осуществляется с помощью применения  различных технических устройств  специального назначения. К ним,  в частности, относятся:

1) источники  бесперебойного питания, предохраняющие  от скачкообразных перепадов  напряжения;

2) устройства  экранирования аппаратуры, линий  проводной связи и помещений,  в которых находятся СКТ;

3) устройства  комплексной защиты телефонии;

4) устройства, обеспечивающие только санкционированный  физический доступ пользователя  на охраняемые объекты СКТ  (шифрозамки, устройства идентификации  личности и т.п.);

5) устройства  идентификации и фиксации терминалов  и пользователей при попытках  несанкционированного доступа к  компьютерной сети;

6) средства  охранно-пожарной сигнализации;

7) средства  защиты портов компьютерной техники  (наиболее эффективны для защиты  компьютерных сетей от несанкционированного  доступа) и т.д.

   Программные  методы защиты предназначаются  для непосредственной защиты  информации по трем направлениям: а) аппаратуры; б) программного  обеспечения; в) данных и управляющих  команд.

Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал  связи или на физический носитель с последующей расшифровкой. Как  показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Все программы  защиты, осуществляющие управление доступом к машинной информации, функционируют  по принципу ответа на вопросы: кто  может выполнять, какие операции и над какими данными.

   Доступ  может быть определен как:

1. общий (безусловно предоставляемый каждому пользователю);
2. отказ (безусловный отказ, например разрешение на удаление порции информации);
3. зависимый от события (управляемый событием);
4. зависимый от содержания данных;
5. зависимый от состояния (динамического состояния

компьютерной  системы);

6. частотно-зависимый (например, доступ разрешен пользователю только один или определенное число раз);
7. по имени или другим признаком пользователя;
8. зависимый от полномочий;
9. по разрешению (например, по паролю);
10. по процедуре.

   Также  к эффективным мерам противодействия  попыткам несанкционированного  доступа относятся средства регистрации.  Для этих целей наиболее перспективными  являются новые операционные  системы специального назначения, широко применяемые в зарубежных  странах и получившие название  мониторинга (автоматического наблюдения  за возможной компьютерной угрозой). Мониторинг осуществляется самой  операционной системой (ОС), причем  в ее обязанности входит контроль  за процессами ввода-вывода, обработки  и уничтожения машинной информации. ОС фиксирует время несанкционированного  доступа и программных средств,  к которым был осуществлен  доступ. Кроме этого, она производит  немедленное оповещение службы  компьютерной безопасности о  посягательстве на безопасность  компьютерной системы с одновременной  выдачей на печать необходимых  данных (листинга).

   При  рассмотрении вопросов, касающихся  программной защиты информационных  ресурсов особо надо подчеркнуть  проблему защиты их от компьютерных  вирусов. Здесь необходимо активно  использовать специальные программные  антивирусные средства защиты (как  зарубежного, так и отечественного  производства). Антивирусные программы  своевременно обнаруживают, распознают  вирус в информационных ресурсах, а также «лечат» их. Однако, наряду  с использованием антивирусных  программ, для уменьшения опасности  вирусных посягательств на СКТ  необходимо предпринять комплексные  организационно-технические меры:

1. Информировать  всех сотрудников учреждения, организации,  использующих СКТ, об опасности  и возможном ущербе в случае  совершения вирусного посягательства.

2. Запретить  сотрудникам приносить на рабочее  место программные средства (ПС) «со стороны» для работы с  ними на СКТ учреждения, организации  по месту работы сотрудника.

3. Запретить  сотрудникам использовать, хранить  на носителях и в памяти  ЭВМ компьютерные игры.

4. Предостеречь  сотрудников организации от использования  ПС и носителей машинной информации, имеющих происхождение из учебных  заведений различного уровня  и профиля.

5. Все файлы,  которые поступают из внешней  компьютерной сети должны обязательно  тестироваться.

6. Создать  архив копий ПС, используемых  в непосредственной работе организации.

7. Регулярно  просматривать хранимые в компьютерной  системе ПС, создавать новые их  архивные копии; где это возможно, использовать защиту типа «только  чтение» для предупреждения несанкционированных  манипуляций с ценными данными.

8. Периодически  проводить ревизионную проверку  контрольных сумм файлов, путем  их сличения с эталоном.

9. Использовать  для нужд электронной почты  отдельный стендовый компьютер  или ввести специальный отчет.

10. Установить  системы защиты информации на  особо важных ЭВМ. Заактивировать  на них специальные комплексные  антивирусные ПС.

11. Постоянно  контролировать исполнение установленных  правил обеспечения безопасности  СКТ и применять меры дисциплинарного  воздействия к лицам, сознательно  или неоднократно нарушавшим  их и т.д.

6. Доказательство в судебных делах  по компьютерным преступлениям. 

   Судебное  расследование компьютерных преступлений  обычно бывает более сложным,  нежели других видов преступлений. Оно требует специальной технической  подготовки и в большей степени  зависит от показаний свидетелей-экспертов.  Обвинение в процессе по делу  о компьютерном преступлении  должно строиться так, чтобы  судья и присяжные, мало знающие  о компьютерах и их работе, смогли разобраться в очень  сложных технических документах. Свидетели должны убедительно  объяснить, почему последствия  «неосязаемой» потери данных, являющихся  чьей-либо собственностью, или нарушение  работы компьютера столь же  серьезны, как и ущерб при хищении  материальных ценностей (а часто  и более серьезны).

   Судебные  дела по компьютерным преступлениям  относительно новы для следователей  и обвинителей. Лишь немногие  судьи и присяжные имеют представление  о компьютерных технологиях, поэтому  отношение к компьютерным преступлениям  с их стороны может значительно  различаться. Одни считают такие  преступления серьезными, другие, видя, что преступление не привело  к хищению компьютеров или  нанесению ущерба зданиям, могут  недооценивать его последствия.  В некоторых случаях слабое  знание специфики проблемы судьями  и присяжными может быть даже  опасным, так как неверная интерпретация  представленного доказательства  иногда приводит к ошибочному  заключению.

   В  качестве примера можно привести  судебное разбирательство по  известному делу Роберта Т.  Мориса о внедрении программы-червя  в сеть Internet в 1988 году. Эта программа  не нанесла прямого материального  ущерба, так как не были похищены  или повреждены данные. Однако  компьютерные центры потеряли  миллионы за то время, которое  ушло на выявление этой программы  и когда не могла выполняться  никакая другая работа, а также  время, ушедшее на проверку  и восстановление работоспособности  систем. Во время судебного процесса  обвиняемый подтвердил внедрение  программы-червя, но заявил, что  это было сделано без злого  умысла, в результате чего он  был осужден условно. И таких  случаев, когда условное осуждение  выбиралось в качестве наказания  за компьютерные преступления, принесшие  многомиллионный ущерб, немало.

Какие же основания  позволяют утверждать, что факт совершения компьютерного преступления имел место? Что является его доказательством, уликой? В случае убийства ответ  прост. Это отпечаток пальца на столе  на месте преступления, след пули, записка, выпавшая из кармана убийцы, когда  он убегал из комнаты. В случае мошенничества  ответ более сложен. Например, если преступник вошел в компьютерную систему по чужому паролю и перевел  деньги с одного счета на другой, будет ли контрольный журнал компьютера уликой преступления? Будет ли уликой распечатка этого контрольного журнала, сделанная на следующий день после  совершения преступления? Или распечатки, сделанные в последующие дни? Или достаточно лишь копии этих распечаток? Типичный ответ юриста заключается  в том, что все это может  считаться доказательством при  определенных обстоятельствах. В судебных разбирательствах по компьютерным преступлениям  часто возникает вопрос о том, какие файлы и другие компьютерные документы могут быть использованы в качестве доказательств правонарушения.

   На  сегодняшний день в разных  законах (а тем более в законах  разных стран) имеются существенные  различия даже в определении  того, что такое компьютеры и  как они работают. Но все же  рост компьютерных преступлений  и судебных прецедентов по  ним позволяет судам проявлять  все большую осведомленность  относительно того, какие доказательства  и как должны представляться  в ходе судебных разбирательств  по компьютерным преступлениям,  а правоохранительным органам  разрабатывать процедуры проверки  компьютерных доказательств во  время расследования преступления  и правила обращения с ними  для представления в суд. Поскольку  новый Уголовный кодекс России, где впервые появилась глава  «Преступления в сфере компьютерной  информации», вступил в силу  только в январе 1997 года, в нашей  стране пока не накоплен опыт  судебных дел по компьютерным  преступлениям и не разработаны  документы, регламентирующие представление  компьютерных доказательств.