Преступления в сфере компьютерной информации: уголовно-правовая характеристика и особенности квалификации

— стратегические и тактические планы развития производства, в том числе с применением новых технологий, изобретений, ноу-хау и т.п.;

— планы и объемы реализации произведений продукции (планы маркетинга, данные о характере и объемах торговых операций, уровнях предельных цен, наличии товаров на складах и т.п.);

— анализ конкурентоспособности производимой продукции, эффективности экспорта и импорта, предполагаемое время выхода на рынок;

— планы рекламной деятельности;

— списки торговых и других клиентов, представителей, посредников, конкурентов; сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих контрактов и др.)».4

Известно большое количество разноплановых угроз безопасности информации различного происхождения. В качестве  критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации  (см. Приложение №1).

Немаловажную роль играет политика информационной политики безопасности.

Политика информационной безопасности (ПИБ) – совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Для конкретной информационной системы политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д. При разработке и проведении политики безопасности в жизнь целесообразно соблюдать следующие принципы:

1) невозможность  миновать защитные средства (все  информационные потоки в защищаемую сеть и из нее должны проходить через систему защиты информации (СЗИ). Не должно быть «тайных» модемных входов или тестовых линий, идущих в обход экрана);

2) усиление  самого слабого звена (надежность  любой СЗИ определяется самым  слабым звеном. Часто таким звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер );

3) недопустимость  перехода в открытое состояние (при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ);

4) минимизация  привилегий (предписывает выделять  пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей);

5) разделение  обязанностей (предполагает такое  распределение ролей и ответственности, при котором один человек не  может нарушить критически важный  для организации процесс. Это  имеет особое значение для  предотвращения злонамеренных или неквалифицированных действий системного администратора);

6) многоуровневая  защита (предписывает не полагаться  на один защитный рубеж, каким  бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирование и аудит. Эшелонированная оборона способна по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий);

7) разнообразие  защитных средств (рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления СЗИ);

8) Принцип  простоты и управляемости информационной системы в целом и СЗИ в особенности определяет возможность формального или неформального доказательства корректности реализации механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование;

9) обеспечение  всеобщей поддержки мер безопасности (носит нетехнический характер. Рекомендуется с самого начала предусмотреть комплекс мер, направленных на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое).

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная (мандатная), основанные соответственно на избирательном и полномочном способах управления доступом (см. приложение №2).

 Избирательное управление доступом  – метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит. Мандатное управление доступом – концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности. Кроме того, существует набор требований, усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.(см. Приложение 2,5.)

Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способов управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компетенцию администрации системы.

 

Глава II. Виды преступлений в сфере компьютерной  информации, особенности их квалификации.

3. Неправомерный доступ к компьютерной информации, (ст.272 УК РФ)

 

Состав преступления материальный: диспозиция ч. 1 ст. 272 содержит указание на наступление следующих преступных последствий:

• уничтожение компьютерной информации — потеря информации, ее утрата при невозможности восстановления в первоначальном виде;

• блокирование информации — невозможность получить доступ в течение значимого промежутка времени к компьютерной информации ее законному пользователю. Разблокирование информации может быть осуществлено как в результате чьих-либо действий, так и автоматически, по истечении определенного промежутка времени. Блокирование информации должно продолжаться в течение такого отрезка времени, которого достаточно, чтобы нарушить нормальную деятельность пользователей информации или создать угрозу нарушения этой деятельности;

• модификация — любые изменения компьютерной информации (частичная замена первоначальной информации на другую, добавление новой информации к первоначальной, нарушения прежнего вида представления информации: изменение порядка частей в документе (страниц, абзацев, строк), попадание частей одних документов в содержание других документов и др.);

• копирование — запись компьютерной информации на машинный носитель или распечатывание этой информации.5

Преступление считается оконченным с момента наступления этих последствий. Когда неправомерный доступ к компьютерной информации является способом, облегчающим совершение другого преступления (хищение денежных средств путем их электронного перевода на счет виновного лица, взломавшего компьютерные коды банковской сети; нарушение авторских и смежных прав, когда компьютерная информация, к которой виновный получил доступ, используется им при незаконном тиражировании программ  и др.), действия виновного квалифицируются по совокупности этих преступлений.

Субъективная сторона преступления характеризуется умышленной виной, поскольку диспозиция ст. 272 не содержит ссылок на возможность неосторожного неправомерного доступа к компьютерной информации. Отношение виновного к преступным последствиям может быть выражено в любой из форм неосторожности.

Цели и мотивы преступления в законе не указаны, они могут быть связаны с извлечением материальной выгоды, хулиганскими побуждениями и др.

Субъект преступления — любое лицо, достигшее 16 лет. Квалифицированный состав преступления (ч.3 ст. 272) 6предполагает совершение преступления группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения. (см. Приложение 3)

Использование лицом своего служебного положения означает, что оно получает доступ к компьютерной информации в силу своих трудовых или должностных обязанностей.

4. Создание, использование и распространение вредоносных компьютерных программ, (ст.273 УК РФ)

Ответственность по ст. 273 наступает за создание, использование и распространение вредоносных компьютерных программ.

Сущность вредоносных программ состоит в том, что работа программы не связана с уведомлением пользователя о ее свойствах, вследствие чего происходят несанкционированные им действия. Наиболее опасными из вредоносных программ являются программы-вирусы, обладающие свойством самопроизвольно активироваться и присоединяться к другим программам, что влечет уничтожение отдельных файлов или всей памяти информационно-телекомуникационной сети, сбои в ее работе и пр. Большинство вирусов распространяется через Интернет их создателями (рассылается пользователям по электронной почте в виде письма безобидного характера и пр.).

Создание подобной программы  подразумевает написание ее алгоритма с дальнейшим преобразованием в машинный язык, а также ее установку для дальнейшего использования.

Внесение изменений в существующие программы — это несанкционированная модификация, выполняемая путем добавления или удаления отдельных ее фрагментов, что приводит к появлению у нее способности вызывать несанкционированные последствия.

По смыслу диспозиции ч. 1 ст. 273 наступления последствий в виде несанкционированного уничтожения, блокирования, модификации, копирования информации, нейтрализации средств защиты не требуется. Достаточно установить, что созданная, используемая или распространяемая программа обладает свойствами, способными привести к такому результату.

Преступление считается оконченным с момента создания, начала использования или распространения программы или машинного носителя с такой программой.

Субъективная сторона преступления характеризуется прямым умыслом. Вредоносные программы могут быть созданы, использованы или распространены с любой целью, в том числе для облегчения совершения другого преступления. В последнем случае действия виновного квалифицируются как по ст. 273, так и по соответствующей статье Особенной части УК.

Субъект преступления — вменяемое лицо, достигшее возраста 16 лет.

Квалифицированный вид преступления (ч. 2 ст. 273) предполагает деяние, предусмотренные ч.1 ст. 2737, совершенные  группой лиц по предварительному сговору или организованной группой либо лицом с использованием служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности.

Преступление является оконченным с момента наступления этих последствий. При этом для правильной квалификации действий виновного необходимо установить причинную связь между его действиями, свойствами программы  и наступившими последствиями.

Часть 2 ст. 273 является преступлением с двумя формами вины: прямым умыслом по отношению к действиям и неосторожностью по отношению к тяжким последствиям. (см. Приложение 4).8

 

5. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей,(ст.274 УК РФ)

 

Ответственность по ст.  274 наступает в случае нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб. Оно состоит в несоблюдении правил режима их работы, предусмотренных инструкциями, исходящими из их технических характеристик, правил внутреннего распорядка, а также правил обращения с компьютерной информацией, установленных собственником или владельцем информации либо законом или иным нормативным актом. Нарушение может быть связано как с неправильной установкой программ, так и с использованием несертифицированных средств защиты информации, самодельных приборов и пр.

Преступным является не любое нарушение правил эксплуатации, а только то, которое повлекло уничтожение, блокирование или модификацию охраняемой законом информации .

Состав преступления материальный: в качестве преступных последствий в диспозиции ч. 1 ст. 274 указано причинение существенного вреда. Существенный вред — это утрата важной информации, сбой производственной деятельности, дорогостоящий ремонт оргтехники.

Преступление считается оконченным с момента наступления этих последствий.

Субъективная сторона преступления характеризуется прямым или косвенным умыслом, так как в диспозиции статьи нет ссылки на возможность неосторожной вины.