Правовая база защиты информации в органах внутренних дел

Уголовный кодекс Российской Федерации о преступлениях в сфере компьютерной информации

Формирование законодательства в области информатизации в Российской Федерации

Введение

Тема 2. Организационно-правовые основы защиты информации в ОВД

А. Г. Чуянов

кандидат технических наук, доцент

«Организационно-правовые основы защиты информации в ОВД»

Материалы лекции

Специальности:

Специальности: 030501.65 Юриспруденция,

030505.65 Правоохранительная деятельность

Формы обучения очная, заочная

Время проведения занятия – 2 часа

Омск 2011

Рецензенты:

А. И. Горев – кандидат юридических наук, доцент,

(Омская академия МВД России);

Материалы лекции по дисциплине «Основы информационной безопасности в органах внутренних дел» обсуждена и одобрена на заседании кафедры управления и информационных технологий в деятельности органов внутренних дел 12 сентября 2011 г., протокол № 1.

Организационные и правовые (законодательные) средства защиты информации являются наиболее универсальными, поскольку принципиально могут быть применены для каналов несанкционированного доступа к информации в любых автоматизированных системах. Трудно представить эффективное применение других средств защиты информации без соответствующей нормативно-правовой базы. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К ним же относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных соглашений.

Нормативно-правовая база защиты информации в ОВД основывается на Конституции, Федеральных законах, уголовном и гражданском законодательстве России, поэтому начнем рассмотрение учебных вопросов с обзора действующего законодательства в области информационной безопасности.

Правовое регулирование в области информационных отношений осуществляется рядом законодательных актов, в том числе федеральными законами. В период с 1991 по 1996 гг. были приняты законы, которые внесли правовую определенность в явление компьютеризации нашего общества вообще и проблему компьютерной преступности в частности и вместе с другими правовыми актами сформировали пласт, именуемый законодательством в сфере информатизации; охватывающий в настоящее время несколько сотен нормативно-правовых актов.

Непосредственно законодательство России в области информатизации начало формироваться с1991.

Важным шагом вперед является признание информации в качестве объекта гражданских прав (ст. 128 Гражданского кодекса РФ).

В основу принятых в 1992 году законов «О правовой охране топологий интегральных микросхем» (№3526-1 от 23.09.92 г. (ред. от 02.02.2006))[1] и «О правовой охране программ для электронных вычислительных машин и баз данных» (№ 3523-1 от 23.09.92 г. (ред. от 02.02.2006))[2] легла идея урегулировать отношения в сфере защиты прав авторов и разработчиков программно-технического обеспечения для ЭВМ. В них определены понятия и термины правоохранной сферы: программа для ЭВМ, база данных, адаптация программы для ЭВМ или базы данных (БД), модификация (переработка) программы для ЭВМ или базы данных, использование программы для ЭВМ или базы данных и т.д.

Так под программой для ЭВМ понимается объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.

База данных - это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Для оповещения о своих правах разработчик программы или базы данных может, начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трёх элементов:

1. буквы "C" в окружности или круглых скобках - ©;

2. наименования (имени) правообладателя;

3. года первого выпуска программы или базы данных в свет.

Важным является тот факт, что программы для ЭВМ и базы данных впервые в законодательной практике были отнесены к объектам авторского права. Кроме того, сформулированы понятия исключительных авторских прав разработчиков программ - авторство, личные права, имущественные и другие права; регламентирован порядок использования программ для ЭВМ и баз данных. В разделе, посвященном защите прав, предусматривается возможность наложения ареста на экземпляры программы для ЭВМ или базы данных, изготовленные, воспроизведенные, распространенные, проданные, ввезенные или иным образом использованные, либо предназначенные для использования в нарушение прав авторов программы для ЭВМ или базы данных и иных правообладателей. Там указано, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо их незаконное воспроизведение или распространение влечет за собой уголовную ответственность.

Предметом регулирования закона «Об авторском праве и смежных правах» (№ 5351-1)[3], принятого 9.07.93 г. (ред. от 20.07.2004), стали отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания (смежные права).

В Законе указано, что он является элементом законодательства России об авторском праве и смежных правах наряду с другими актами, в том числе законом «О правовой охране программ».

Здесь повторяется и уточняется ряд формулировок Закона «О правовой охране программ», разграничивающих авторские права на программы и базы данных и смежные права. Согласно Закону правовая охрана программ для ЭВМ распространяется на все виды программ (в том числе на операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код. Оговорены случаи свободного воспроизведения программ и баз данных. Свободное воспроизведение допускается при условии правомерного владения экземпляром программы или БД в случаях:

* исправления явных ошибок,

* при внесении изменений исключительно в целях функционирования на средствах пользователя,

* изготовления архивной копии.

Следует отметить, что с 1 января 2008 года вступила в силу четвёртая часть Гражданского Кодекса, которая вобрала в себя и развила идеи, заложенные в упомянутых законах.

Целью принятия закона РФ «О государственной тайне» (№ 5485-1 от 21.07.93 г. (ред. от 22.08.2004))[4], стало регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

В Законе имеется ряд важных терминов, раскрывающих природу этих специальных информационных отношений. В частности, под государственной тайной законом понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Важным понятием является определение носителей сведений, составляющих государственную тайну: это материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов. Из определения видно, что Закон рассматривает физические поля, как материализованную субстанцию и как носитель информации или совокупность сигналов, передающих ее.

К средствам защиты информации Законом отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Еще одним важным понятием является доступ к сведениям, составляющим государственную тайну,который определен как санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

В принятом 29 декабря 1994 года законе «Об обязательном экземпляре документов» (№ 77-ФЗ (ред. от 03.06.2005))[5], определена политика государства в области формирования обязательного экземпляра документов как ресурсной базы национального библиотечно-информационного фонда. В качестве документа законом рассматривается материальный носитель с зафиксированной на нем информацией в виде текста, звукозаписи (фонограммы), изображения или их сочетания, предназначенный для передачи во времени и пространстве в целях общественного использования и хранения. К разряду документов отнесены и электронные издания, представляющие собой программы для ЭВМ и базы данных.

Двадцатого января 1995 года вступил в действие закон «О связи» (№ 15-Ф3)[6], установивший правовую основу деятельности в области связи. На смену ему в 2003 году был принят новый Закон «О связи» - №126-ФЗ от 07.07.2003[7] (ред. от 03.03.2006). Настоящий Федеральный закон регулирует отношения, связанные с созданием и эксплуатацией всех сетей связи и сооружений связи, использованием радиочастотного спектра, оказанием услуг электросвязи и почтовой связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях.

Законом определены полномочия органов государственной власти по урегулированию указанной деятельности, а также права и обязанности физических и юридических лиц участвующих в указанной деятельности или пользующихся услугами связи.

В законе дан ряд определений, вызывающих интерес в контексте рассматриваемой темы. К федеральной связи законом отнесены все сети и сооружения: электрической и почтовой связи на территории РФ (за исключением внутрипроизводственных и технологических сетей связи).

Под электросвязью понимаются - любые излучение, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам.

Сеть связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.

Предметом регулирования Федерального закона «Об информации, информатизации и защите информации» (№ 24-Ф3)[8], принятого 20 февраля 1995 г., стали отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

В 2006 году на смену этому Закону пришёл Закон «Об информации, информационных технологиях и защите информации»[9]. Вновь принятый Закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

Документом устанавливается, что информация в зависимости от категории доступа к ней подразделяется на общедоступную и информацию ограниченного доступа. Последняя должна быть определена соответствующим федеральным законом.

Законом определен ряд таких важнейших понятий, как информация, документированная информация, информационная система, доступ к информации, обладатель информации, конфиденциальность информации, электронное сообщение и т.д. Вот некоторые из них:

информация - сведения (сообщения, данные) независимо от формы их представления;

документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях её материальный носитель;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационные ресурсы - отдельные документы и отдельные массивы документов.документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

доступ к информации - возможность получения информации и её использования;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.

Согласно Закону, обладателем информации могут выступать как физические и юридические лица, так и субъекты РФ, муниципальные образования и Российская Федерация. Обладатель вправе самостоятельно разрешать или ограничивать доступ к своей информации. Запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну. Порядок доступа к сведениям персонального характера должен быть также установлен отдельным федеральным законом.

Закон обязывает обладателя информации, оператора информационной системы обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Кроме того, уточняется, что информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам по решению суда.

Определяется, что федеральный закон может предусматривать обязательную идентификацию лиц, которые используют телекоммуникационные сети для предпринимательской деятельности. При этом получатель электронного сообщения вправе проверить, кто был его отправителем, а в ряде случаев обязан произвести такую проверку. Обладатель информации или операторы информационной системы обязаны предотвращать несанкционированный доступ к распространяемой ими информации.

В статье закона, регулирующей документирование информации, говорится, что электронное сообщение, подписанное электронно-цифровой подписью, признается равнозначным документу, подписанному собственноручно, если иным нормативным актом не предусмотрена обязательность бумажного носителя.

Согласно Закону «Об информации, информационных технологиях и защите информации» государственное регулирование в сфере применения информационных технологий предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных настоящим Федеральным законом;

2) развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети "Интернет" и иных подобных информационно-телекоммуникационных сетей.

Закон определяет защиту информации как принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Таким образом, Закон «Об информации, информационных технологиях и защите информации» развивает вопросы, связанные с:

· закреплением прав граждан, организаций, государства на информацию;

· установлением правового режима информации на основе применения в этой области правил документирования, института собственности, деления информации по признаку доступа на открытую и с ограниченным доступом, правил формирования информационных ресурсов и пользования ими;

· с установлением основных прав и обязанностей государства, организаций, граждан в процессе создания информационных систем страны, создания и развития научно-технической, производственной базы информации, формирования рынка информационной продукции услуг в этой сфере;

* с установлением правил и общих требований в области защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

Целью Федерального закона «Об участии в международном информационном обмене» (№ 85-Ф3)[10], принятого 5 июня 1996 года, являлось создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов РФ, субъектов РФ и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

В дополнении к определениям установленным ранее, данный Закон вводил ряд новых определений, из которых, пожалуй, основным является информационная безопасность. Под этим термином понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. В настоящее время Закон утратил силу[11].

9 сентября 2000 года Президентом России была утверждена «Доктрина информационной безопасности Российской Федерации»[12], где в концентрированном виде представлена совокупность официальных взглядов государства на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

В Доктрине рассматриваются объекты, угрозы информационной безопасности и возможные их последствия, методы и средства предотвращения, парирования и нейтрализации угроз, особенности обеспечения информационной безопасности в различных сферах деятельности государства, а также излагаются основные положения государственной политики обеспечения информационной безопасности в Российской Федерации, организационная структура и принципы построения системы информационной безопасности.

«Доктрина информационной безопасности Российской Федерации» указывает, что информационная безопасность является составной частью системы национальной безопасности и относится к жизненно важным сферам обеспечения интересов личности, общества и государства.

Так же одним из законов, касающихся защиты информации, является федеральный закон РФ «Об электронной цифровой подписи»^[13], принятый в 2001 году, который стал законодательной основой электронного документооборота в России. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. В Законе даны определения таких понятий как – электронный документ, электронная цифровая подпись, закрытый и открытый ключи электронной цифровой подписи и т.д.

Так, электронный документ – это документ, в котором информация представлена в электронно - цифровой форме;

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Модель реализации электронной цифровой подписи заключается в следующем. При регистрации электронной цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на электронном носителе и должен быть известен только самому корреспонденту. Открытый ключ должен быть у всех потенциальных получателей документов и обычно рассылается по электронной почте. Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.

Закон даёт правовую основу практической реализации этой модели, закрепляя права и обязанности сторон, участвующих в электронном документообороте.

Таким образом, обобщив основные положения законодательства в области информатизации, можно сказать, что:

1. Информацией является сведения (сообщения, данные) независимо от формы их представления.

2. Правовой защите подлежит любая документированная информация, т.е. информация, с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях её материальный носитель.

3. Документированная информация является объектом гражданских прав и имеет собственника.

4. Информация, ознакомление с которой ограничивается ее собственником или в соответствии с законодательством, может быть конфиденциальной, а предназначенная для неограниченного круга лиц - массовой.

5. Ограничение (установление режима) использования информации определяются законом или собственником информации, которые объявляют о степени её конфиденциальности.

6. Конфиденциальными в соответствии с законом являются, в частности, такие виды информации, как: государственная тайна (Закон РФ «О государственной тайне», ст. 275, 276, 283, 284 УК РФ); тайна переписки, телефонных переговоров, почтовых телеграфных или иных сообщений (ч.2 ст. 23 Конституции РФ, ст.138 УК РФ); тайна усыновления (ст.155 УК РФ); служебная тайна (ст. 139 УК РФ); коммерческая тайна (ст. 139 ГК РФ и ст.183 УК РФ); банковская тайна (ст.183 УК РФ); личная тайна (ст. 137 УК РФ); семейная тайна (ст. 137 УК РФ); информация, являющаяся объектом авторских и смежных прав (Закон РФ «Об авторских и смежных правах», ст.140 УК РФ); информация, непосредственно затрагивающая права и свободы гражданина или персональные данные (Федеральный закон «Об информации, информационных технологиях и защите информации», ст. 140 УК РФ) и др.

7. Любая форма завладения и пользования конфиденциальной документированной информацией без прямого выраженного согласия ее собственника (за исключением случаев, прямо указанных в законе) является нарушением его прав, т.е. неправомерной.

8. Неправомерное использование документированной информацией наказуемо.

9. Нарушение законодательных норм, заложенных в перечисленных законах, наступает гражданская, уголовная или административная ответственность.

Следует также упомянуть Указы Президента РФ: «Об утверждении перечня сведений конфиденциального характера» (№188 от 06.03.97 г. (ред. от 23.09.2005 №1111))[14]; «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (№334 от 03.04.95г. (ред. от 25.07.2000 №1358))[15]; «О мерах по упорядочению разработки, производства, реализации приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использованию специальных технических средств, предназначенных для негласного получения информации» (№21 от 09.01.96г.(ред. от 30.12.2000 №2111))[16]; «О представлении лицами, замещающими государственные должности Российской Федерации, и лицами, замещающими государственные должности государственной службы и должности в органах местного самоуправления, сведений о доходах и имуществе» (№484 от 15.05.97 г. (ред. от 04.03.1998 №227, от 31.05.1999 №680, от 25.07.200 №1358))[17], которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, (включая организационные механизмы), создания системы правовой информации, информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Таким образом, до 1 января 1997 года на уровне действующего законодательства России можно было считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве права граждан на доступ к информации и защита информации, т.е. то, что напрямую связано с компьютерными преступлениями. Часть указанных пробелов в общественных отношениях в области компьютерной информации была ликвидирована после введения в действие с 1января 1997 года нового Уголовного Кодекса, принятого Государственной Думой 24 мая 1996 года.

До момента вступления в силу (до 1-го января 1997 г.) УК РФ, несмотря на явную общественную опасность, данные посягательства не были противозаконными, т.е. они не упоминались нашим уголовным законодательством. Хотя, еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью.

Уголовный кодекс РФ установил нормы, объявляющие общественно опасными деяниями конкретные действия в сфере компьютерной информации и устанавливающие ответственность за их совершение. Такие нормы появились в российском законодательстве впервые.

Для обеспечения правовой защиты компьютерной информации и компьютерных систем законодателем введены в Уголовный Кодекс Российской Федерации (УК РФ) три статьи, объединенные в главе 28 – «Преступления в сфере компьютерной информации». Рассмотрим подробнее все три статьи УК РФ с целью обрисовать основные признаки совершения компьютерных преступлений.

Неправомерный доступ к компьютерной информации (ст. 272)

Статья 272 УК предусматривает ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Данная статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной вычислительной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы (ЭВМ, сети ЭВМ) или как лицо, приобретшее право использования компьютера. [18]

Преступное деяние, ответственность за которое предусмотрено ст. 272 должно состоять в неправомерном доступе к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий и может выражаться в

* проникновении в компьютерную систему путем использования специальных технических или программных средств позволяющих преодолеть установленные системы защиты,

* незаконном применении действующих паролей или маскировке под видом законного пользователя для проникновения в компьютер,

* хищении носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации.

Неправомерным признается доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией, либо компьютерной системой.

Важным является наличие причинной связи между неправомерным доступом и наступлением предусмотренных статьей 272 последствий, поэтому простое временное совпадение момента сбоя в компьютерной системе, которое может быть вызвано неисправностями или программными ошибками и неправомерного доступа не влечет уголовной ответственности.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно. Совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность наступления указанных в законе последствий, желает и сознательно допускает их наступление либо относится к ним безразлично.

Мотивы и цели данного преступления могут быть любыми. Это и корыстный мотив, цель получить какую-либо информацию, желание причинить вред, желание проверить свои профессиональные способности. Исключение мотивов и целей как необходимых признаков указанного преступления позволяет применять ст. 272 УК к всевозможным компьютерным посягательствам.

Статья состоит из двух частей.

В первой части предусмотрено наказание в виде штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительных работ на срок от шести месяцев до одного года, либо лишения свободы на срок до двух лет.

Часть вторая ст.272 предусматривает в качестве признаков, усиливающих уголовную ответственность при его совершении группой лиц или организованной группой, с использованием лицом своего служебного положения или лицом, имеющим доступ к информационной вычислительной системе и предусматривает наказание в виде штрафа в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Приведем один характерный для данного вида преступлений пример[19].

Некто П. 16.05.2002 года, находясь в г. Мурманск, используя электронно-вычислительную машину (ЭВМ), подключенную через коммутируемую телефонную линию посредством модема к телекоммуникационной сети Интернет, имея умысел на получение информации, охраняемой Федеральным законом РФ «Об информации, информатизации и защите информации», не имея права на доступ к данной информации, использовал программы-сканеры, имеющиеся на жестком магнитном носителе информации в принадлежащем ему ЭВМ. После запуска программы сканера П. получил IP-адреса компьютеров работающих в настоящее время в сети Интернет и имеющих уязвимости в защите, позволяющие осуществить доступ к информации на их магнитных и других носителях. В результате этих действий П. получил доступ к информационным ресурсам ЭВМ, подключенной через провайдера ОАО к телекоммуникационной сети Интернет, принадлежащей согласно ст. 139 Гражданского кодекса РФ, Указу Президента РФ от 06.03.1997 года № 118 «Перечень сведений конфиденциального характера» – представительству ФГУАП в г. Мурманске. После чего, П. ввел в поисковую строку шаблон для поиска файлов с расширением «*.PWL»[20]. ЭВМ, произведя поиск, отобразила найденный файл «.PWL». Продолжая свои преступные действия и имея умысел на получение сведений о регистрационных именах и паролях, для доступа к сети Интернет, П. скопировал файл «.PWL» размером 1 Кбайт, находящийся на жестком магнитном носителе информации ЭВМ, принадлежащей представительству ФГУАП в г. Мурманске, на жесткий магнитный носитель информации принадлежащей ему ЭВМ. В дальнейшем, с использованием специальной программы, скопированный файл «.PWL» П. был расшифрован, в результате чего им, получены сведения о регистрационном имени и пароле, используемые ФГУАП для доступа в телекоммуникационную сеть Интернет.

По уголовному законодательству субъектами компьютерных преступлений, могут быть лица, достигшие 16-летнего возраста, однако часть вторая ст. 272 предусматривает наличие дополнительного признака у субъекта совершившего данное преступление - служебное положение, а равно доступ к ЭВМ, системе ЭВМ или их сети, способствовавших его совершению.

Статья 272 УК не регулирует ситуацию, когда неправомерный доступ осуществляется в результате неосторожных действий, что, в принципе, отсекает огромный пласт возможных посягательств и даже те действия, которые действительно совершались умышленно, т.к., при расследовании обстоятельств доступа будет крайне трудно доказать умысел компьютерного преступника (например, в сети Интернет, содержащей миллионы компьютеров, в связи со спецификой работы - переход по ссылке от одного компьютера к другому довольно легко попасть в защищаемую информационную зону даже не заметив этого).

Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273)

Статья предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами.

Статья защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации.

Под вредоносными программами в смысле ст. 273 УК РФ понимаются программы, специально разработанные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу.

Наиболее распространенными видами вредоносных программ являются широко известные компьютерные вирусы и логические бомбы.

Для привлечения к ответственности по 273 ст. необязательно наступление каких-либо отрицательных последствий для владельца информации, достаточен сам факт создания программ или внесение изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье.

Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путём записи в память ЭВМ, записи на материальный носитель, распространения по сетям, иной передачи другим лицам.

Уголовная ответственность по этой статье возникает уже в результате создания программы, независимо от того использовалась эта программа или нет.

По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих соответствующую лицензию.

Данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершаемым действиям.

Преступление, предусмотренное частью 1 ст. 273, может быть совершено только умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. Причем, цели и мотивы не влияют на квалификацию посягательства по данной статье, поэтому самые благородные побуждения (борьба за экологическую чистоту планеты) не исключают ответственности за само по себе преступное деяние. Максимально тяжелым наказанием для преступника в этом случае будет лишение свободы до трех лет.

Часть вторая ст. 273 в качестве дополнительного квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. При совершении преступления, предусмотренного ч. 2 рассматриваемой статьи, лицо сознает, что создает вредоносную программу, использует, либо распространяет такую программу или её носители и либо предвидит возможность наступления тяжких последствий, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит этих последствий, хотя при необходимой внимательности и предусмотрительности должно и могло их предусмотреть. Данная норма закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть потенциально возможные последствия использования этих программ, которые могут быть весьма многообразными: смерть человека, вред здоровью, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем. По этой части суд может назначить максимальное наказание в виде семи лет лишения свободы.

Приведем пример, характерный для данного вида преступлений[21].

В феврале 2003 года А. на своем персональном компьютере, установленном у него дома, используя язык программирования Perl, создал программу для ЭВМ sendsms.pl, то есть написал последовательность логических команд с дальнейшим преобразованием их в машинный язык ЭВМ, предназначенную для копирования компьютерной информации с одного машинного носителя на другие, то есть для массовой рассылки коротких текстовых сообщений (SMS-сообщений) на машинные носители абонентов, заведомо приводящую к несанкционированному блокированию, копированию информации, нарушению работы сети ЭВМ.

В феврале 2003 г. А. на своем персональном компьютере, установленном у него дома, желая убедиться в работоспособности созданной им программы sendsms.pl, в строке задания параметров, необходимых программе рассылки SMS-сообщений, ввел данные, позволяющие произвести рассылку 10 нецензурных текстовых сообщений одинакового содержания одному абоненту, после чего привел программу в действие.

В результате действия указанной программы абонент получил 10 sms-сообщений, то есть произошло копирование (рассылка) компьютерной информации на телефонный аппарат, являющийся машинным носителем ЭВМ.

Убедившись в работоспособности компьютерной программы sendsms.pl, у А. возник умысел на осуществление массовой рассылки SMS-сообщений нецензурного содержания всем абонентам Челябинского фрагмента сети.

Исполняя задуманное и достоверно зная, что использование данной программы повлечет за собой несанкционированное блокирование, копирование информации, нарушение работы сети ЭВМ, А., находясь у себя дома, пытаясь скрыть следы своей преступной деятельности, воспользовался известными ему от N логином (регистрационное имя пользователя для доступа к сайту) и соответствующим ему паролем, которые N использовал для выхода на свой сайт, размещенный на сервере ООО "Y" г. Санкт-Петербург, и с помощью своего персонального компьютера и модема, зашел на указанный сайт.

Там А. разместил программу sendsms.pl, в которую заложил текст sms-сообщения нецензурного содержания. После этого, не уведомляя собственника компьютерной информации о характере выполняемых программой функций и не получив согласия на реализацию программой своего назначения, привел указанную программу, в которой была заложена функция автоматической рассылки SMS-сообщений, в действие.

В результате незаконных действий А. компьютерная программа sendsms.pl в период своей работы (немногим более 2-х часов) разослала 11261 абонентам Челябинского фрагмента сети SMS-сообщения нецензурного содержания, что привело к несанкционированному, то есть без уведомления собственника компьютерной информации о характере выполняемых программой функций и согласия на реализацию программой своего назначения:

- копированию компьютерной информации, то есть перенос информации с одного машинного носителя на другой (рассылка);

- нарушению работы сети ЭВМ, то есть создание аварийной ситуации, классифицируемой в соответствии действующей Инструкцией о порядке действий инженера группы оперативно-технического управления в аварийных ситуациях как событие первой категории «авария» (такие события, которые приводят к ухудшению работы сети в целом или отдельных ее участков) в результате перегрузки оборудования, вызванного пересылкой слишком большого объема информации (11261 сообщений за 2 часа 16 минут 39 секунд работы) и временное создание помех для ее функционирования в соответствии с назначением;

- блокированию компьютерной информации, то есть лишение возможности абонентов сети принимать и отправлять иные SMS-сообщения в этот период времени.

Таким образом, своими умышленными действиями А. совершил преступление, предусмотренное ч.1 ст. 273 УК РФ, то есть создание программ для ЭВМ, заведомо приводящих к несанкционированному блокированию, копированию информации, нарушению работы сети ЭВМ, а равно использование таких программ.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274)

Статья 274 УК устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Статья защищает интерес владельца вычислительной системы относительно ее правильной эксплуатации. Данная уголовная норма, естественно, не содержит конкретных технических требований и отсылает к ведомственным инструкциям и правилам, определяющим порядок работы, которые должны устанавливаться специально правомочным лицом и доводиться до пользователей.

Применение данной статьи невозможно для Интернет, ее действие распространяется только на локальные сети организаций. Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты.

Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом именно нарушения правил эксплуатации.

Определение существенного вреда, предусмотренного в данной статье, - оценочный процесс. Вред устанавливается судом в каждом конкретном случае, исходя из обстоятельств дела, однако очевидно, что существенный вред должен быть менее значительным чем тяжкие последствия.

Преступник, нарушивший правила эксплуатации, это лицо в силу должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила. Преступник должен совершать свое деяния умышленно, он сознает, что нарушает правила эксплуатации, предвидит возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желает или сознательно допускает причинение такого вреда или относится к его наступлению безразлично. Что наиболее строго наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо ограничением свободы до двух лет.

В части второй статьи 274 предусматривается ответственность за неосторожные деяния. По ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, повлекшее серьезную транспортную аварию. По данным правоохранительных органов, имеются сведения о фактах несанкционированного доступа к ЭВМ вычислительного центра железных дорог России, а также к электронной информации систем учета жилых и нежилых помещений местных органов управления во многих городах, что в наше время подпадает под ответственность, предусмотренную ст. 272 УК, либо ст. 274 УК в зависимости от действий лица, осуществившего посягательство и правил эксплуатации конкретной сети.

Следует отметить, что признаки преступлений, предусмотренных в статьях 272 и 274 УК, с технической точки зрения весьма похожи. Различие заключается в правомерности или неправомерности доступа к ЭВМ, системе ЭВМ или их сети. Статья 274 УК отсылает к правилам эксплуатации компьютерной системы, но в статье 272 в качестве одного из последствий указано нарушение работы компьютерной системы, что, с технической точки зрения, является отступлением от правил и режима эксплуатации. Поэтому, возможно, имеет смысл данные почти однородные преступления законодательно объединить.

В тех случаях, когда общественно опасные действия в области информационных отношений совершаются без применения компьютерных средств законодатель нередко относит их к другим соответствующим родовым объектам.

Так клевета или оскорбление (ст. 129,130 УК РФ), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщении (ст. 138), отказ в предоставлении гражданину информации (ст140 УК РФ), нарушение авторских, смежных, изобретательских и патентных прав (ст. 140,147 УК РФ) находятся в разделе «Преступления против личности». Кража, мошенничество, хищение предметов, имеющих особую ценность, умышленные уничтожение или повреждение имущества, заведомо ложная реклама, изготовление и сбыт поддельных кредитных карт, незаконный экспорт технологии, научно-технической информации (ст. 158, 159, 164, 167, 182, 187, 189 УК РФ) - в разделе «Преступления в сфере экономики» и т.д.

Таким образом информационные отношения получили и уголовно-правовую защиту. Из этого следует, что информация и информационные отношения стали новым объектом преступления.

Деятельность сотрудников правоохранительных органов зачастую связана с обработкой информации ограниченного доступа. С применением современных информационных технологий для решения задач организационно-административной, оперативно-розыскной, учетно-статистической деятельности органов внутренних дел возникают проблемы, связанные с необходимостью предотвращения несанкционированного доступа к информации, циркулирующей в автоматизированных системах, передаваемой по телеграфным, телефонным и радиоканалам связи специального и общего назначения. Этим вопросам уделяется значительное внимание: так приказом МВД России № 029 от 5 июля 2001 г. утверждено «Временное наставление по технической защите информации в органах внутренних дел Российской Федерации и внутренних войсках Министерства внутренних дел Российской Федерации», в котором определены основы организации и общие правила технической защиты информации, составляющей государственную, служебную и иные виды тайн и сведений, доступ к которым и их распространение ограничены в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации.

В приказе говорится, что меры по технической защите информации являются составной частью управленческой, оперативно-служебной, служебно-боевой и научно-технической деятельности и осуществляются во взаимосвязи с правовой, организационно-режимной и физической защитой объектов информатизации, а также другими мерами по обеспечению собственной безопасности органов внутренних дел Российской Федерации и внутренних войск Министерства внутренних дел Российской Федерации.

В общих положениях Приказа указывается, что защита секретной информации, обрабатываемой средствами ЭВМ, является задачей государственной важности и одной из составных частей в общей системе мер по сохранению государственной и служебной тайны. Она должна осуществляться взаимосвязанно с организационными мероприятиями по обеспечению режима секретности.

Защита информации на объектах электронно-вычислительной техники обеспечивается проведением комплекса организационных, технических, аппаратных, программных и программно-аппаратных мер, направленных на исключение или существенное затруднение добывания вероятным противником секретной информации как за пределами контролируемой зоны объекта, так и путем возможного несанкционированного доступа к устройствам и линия связи объекта.

Приказом определен комплекс мероприятий по защите информации, обрабатываемой на ЭВМ.

Выводы

В период с 1991 по 2011 гг. в Российской Федерации был принят ряд законов, регулирующих различные стороны процесса информатизации общества.

Анализируя уголовное законодательство, можно сделать выводы о сложности и неоднозначность квалификации, а также трудности сбора доказательственной информации по делам этой категории. Предусмотренные составы компьютерных преступлений не охватывают полностью всех видов совершения компьютерных посягательств. Хотя, возможно, в этом случае будут оказывать помощь; статьи 146 УК РФ (нарушение авторских и смежных прав) и 147 УК РФ (нарушение изобретательских и патентных прав), дающие возможность уголовного преследования за незаконное использование программного обеспечения.

[1] «Ведомости СНД РФ и ВС РФ», 22.10.92, №42, с.2328.

[2] «Ведомости СНД РФ и ВС РФ», 22.10.92, №42, с.2325.

[3] «Ведомости СНД РФ и ВС РФ», 12.08.93, №32, с.1242.

[4] «Собрание законодательства РФ», 13.10.97, №41, ст.8220.

[5] «Собрание законодательства РФ», 02.01.1995, №1, ст.1.

[6] «Собрание законодательства РФ», 20.02.1995, №8, ст.600.

[7] «Собрание законодательства РФ», 14.07.2003, №28, ст.2895.

[8] «Собрание законодательства РФ», 20.02.1995, №8, ст.609.

[9]

[10] «Собрание законодательства РФ», 08.07.1996, №28, ст.3347.

[11]

[12] «Российская газета», №187, 28.09.2000.

[13] «Собрание законодательства РФ», 14.01.2002, №2, ст.127.

[14] «Собрание законодательства РФ», 10.03.1997, №10, ст.1127.

[15] «Собрание законодательства РФ», 10.04.1995, №15, ст.1285.

[16] «Собрание законодательства РФ», 15.01.1996, №3, ст.153.

[17] «Собрание законодательства РФ», 19.05.1997, №20, ст.2239.

[18] В.Наумов. Отечественное законодательство в борьбе с компьютерными преступлениями // [email protected].

[19] www.cyber-crimes.ru

[20] Файлы, содержащие в зашифрованном виде информацию об имени и пароле для входа в сеть

[21] www.cyber-crimes.ru

Дата добавления: 2014-01-20; Просмотров: 5912; Нарушение авторских прав?; Мы поможем в написании вашей работы!