В чем состоят основные правонарушения в сфере информатизации
На почве стремления извлечь выгоду из владения информацией или неправомерного получения информации совершаются множественные правонарушения. В этом плане сфера информатизации имеет существенную специфику, обусловленную нематериальной сущностью информации.
При этом совершаются не только вульгарные нарушения тех или иных законов, что, естественно, тоже имеет место, но готовятся и делаются весьма тонкие и изысканные ходы. В процессе разбирательства на всех уровнях как со стороны нарушителей, так и со стороны правообладателей широко применяются специфические категории сферы информатизации и информационных технологий, требующие соответствующей предметной квалификации юристов - участников процесса. Попытки совершения различных правонарушений предпринимаются через «дыры в законах», в том числе и в сфере информатизации.
Институт компьютерной безопасности (Сан-Франциско, США) провел в начале 1997 г. опрос 563 американских корпораций, правительственных учреждений, финансовых институтов и университетов по вопросам наносимого компьютерными преступлениями ущерба. Опрос показал, что за прошедшие 12 месяцев 75% опрошенных потерпели финансовые убытки из-за преступлений, связанных с компьютерами. Тем не менее только 17% респондентов сообщили об этих преступлениях в правоохранительные органы. Рост компьютерных преступлений вынуждает компании заботиться о безопасности в сфере информационных технологий.
По предварительным оценкам отделения по борьбе с мошенничеством с кредитными картами и дорожными чеками УЭП ГУВД Москвы, убытки от мошенничеств с карточками составили 3,5 млн. долл. Помимо этого на сумму более 1,2 млн. долл. мошенничества с карточками были предотвращены.
Таким образом, в сфере информатизации имеют место все типовые формы посягательства на защищаемый объект: хищение, искажение, подделка, уничтожение и т.д. из самых разных побуждений.
Достаточно много судебных процессов, в основе которых лежит посягательство одних фирм на продукты других. При этом неявно предполагается, что в основе оригинальных «фирменных» продуктов, в конце концов, лежит то или иное «ноу-хау», имеющее автора. И хотя иск может не содержать прямо требования защиты авторских прав, косвенно это обстоятельство в таких делах всегда присутствует. Однако доказать авторство на современном уровне переплетения работ и результатов очень непросто.
Глобальным и весьма масштабным видом правонарушений в сфере информатизации и информационного бизнеса является так называемое пиратство. По этому поводу постоянно приводятся примеры правонарушений, отмечаемых в самых разных частях света. Ассоциация международных производителей программного обеспечения Business Software Alliance (BSA), объединяющая компании Lotus, Novell и Microsoft, всеми силами способствует борьбе с пиратами и пиратством.
В России компьютерное пиратство является весьма распространенным правонарушением. Правда, к 1998 г. положение несколько улучшилось, и Россия уже не входила в число стран -лидеров пиратства. Эти данные приведены в отчете американской компании IPR. По этим данным, мировые потери от компьютерного пиратства составили в 1997 г. 11,4 млрд. долл., увеличившись по сравнению с 1996 г. на 0,2 млрд. долл.
По сумме потерь от пиратства на первом месте оказались США (2,8 млрд. долл.), а по уровню - Вьетнам (98% программ были здесь пиратскими). Абсолютные потери, понесенные фирмами в России, были оценены в 252 млн долл. (11-е место в мире), а уровень пиратства - 89% (7-е место в мире вместе с такими странами, как Сальвадор и Бахрейн); при этом на протяжении последних лет было отмечено его постоянное снижение (1994 г. - 95%, 1995 г. - 94%, 1996 г. - 91%,). В других странах СНГ без России в 1997 г. был зафиксирован уровень пиратства в 92%.
Тема компьютерного пиратства всегда была разменной монетой в политико-экономической игре. Известны многочисленные претензии к России, хотя не менее высокий уровень пиратства в других странах (Китай - 96%, Индонезия - 93%) не мешает иностранным компаниям и правительствам активно взаимодействовать с ними. А Ирландия, которая является второй в Западной Европе страной по уровню распространения нелегальных программ (65% при среднем уровне по региону 39% ), - излюбленное место для размещения заводов американских компьютерных компаний.
Большой интерес представляет также методика, по которой проводится исследование компанией IPR. Дело в том, что в случае компьютерного пиратства, как и в других аналогичных ситуациях (например, сбор налогов), практически невозможно непосредственно подсчитать скрываемые обороты. Масштабы подобных явлений можно оценить лишь по их внешним проявлениям, например по анализу структуры потребления.
18.. Как построить рациональную защиту информационных ресурсов, назовите основные критерии.
Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению производительности системы по основным производственным функциям. Защита должна строиться как рациональная, т.е. с оптимальными по некоторому критерию характеристиками, что всегда составляет предмет самостоятельного исследования.
Информационные системы являются сложными и комплексными, поэтому выбор даже рациональной степени защищенности является сложной проблемой, которая может быть, например, проблемой полиоптимизации или векторной оптимизации. Возможны и упрощенные подходы с учетом конкретных особенностей задачи. Для иллюстрации ниже приводится пример анализа условий рациональной защиты информации в базах данных от злонамеренного искажения или порчи.
Предполагается, что проблема защиты собранной регулярным образом на предприятии информации возникает тогда, когда ставится задача обеспечения гарантированной сохранности данных, содержащихся в базах данных, от лиц, желающих ее исправления.
Решение задачи рациональной защищенности данных может достигаться, например, за счет введения системы паролей, использования криптографических методов защиты информации, установления собственных командных процессоров, загрузчиков, создания и загрузки резидентных программ, перехватывающих прерывания и обрабатывающих команду от пользователя с последующей ее блокировкой, если команда окажется запрещенной для данной системы. Возможно также использование установки собственной главной загрузочной записи (MBR) на жестком диске.
Применительно к условиям охраны данных от активных попыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации:
- аутентификация пользователя по паролю и, возможно, по ключевой дискете или аппаратному ключу;
- разграничение доступа к логическим дискам;
- прозрачное шифрование логических дисков;
- шифрование файлов с данными;
- разрешение запусков только строго определенных для каждого пользователя программ;
- реакция на несанкционированный доступ;
- регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему;
- создание многоуровневой организации работы пользователя с расширением предоставляемых возможностей при переходе на более высокий уровень;
- предоставление пользователю минимума необходимых ему функций.
Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информационной структуры. При создании систем защиты принято придерживаться следующих принципов:
1) постоянно действующий запрет доступа; в механизме защиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты;
2) простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа;
3) перекрытие всех возможных каналов утечки, для чего должны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходимо обеспечивать надежное определение источника любого обращения к данным;
4) независимость эффективности защиты от квалификации потенциальных нарушителей;
5) разделение полномочий в сфере защиты и доступа, т.е. применение нескольких разных ключей защиты;
6) предоставление минимальных полномочий;
7) максимальная обособленность механизма защиты; для исключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании защиты минимизировать число общих для нескольких пользователей параметров и характеристик механизма защиты;
8) психологическая привлекательность защиты, для чего тоже важно добиваться, чтобы защита была по возможности простой в эксплуатации.
При построении систем защиты, основанных даже не на всех, а только на некоторых из вышеперечисленных принципов, возникают серьезные препятствия, связанные с большими затратами на их реализацию. В связи с этим защита и должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени возможность злонамеренного проникновения в базу данных.
Активность посягательств, классификация похитителей, характеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вариантов способов защиты, их прочность и стоимость одного сеанса защиты тем или иным способом - все эти данные нужно задать либо определить тем или иным путем.
Поиск решения может осуществляться различными методами, например можно отыскивать решение на множестве вариантов комбинаций степеней защиты, т.е. путем перебора их возможных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов защиты. Таким путем будут определены индексы защит для каждой из защищаемых областей базы данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты.
Такой подход позволяет подобрать самый дешевый из допустимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной.
Аналогично можно поставить и решить задачу выбора варианта структуры системы защиты в более сложных условиях, выполнив полноразмерный проект такой системы при соответствующих затратах на его выполнение. Если информация в базе данных стоит того, чтобы ее защищать, то и на создание системы защиты придется затратить соразмерные средства.