Системы защиты информации в ведущих зарубежных странах. Ч. 2

31

5.8.Меры борьбы с компьютерной преступностью

Всвязи с ростом во Франции количества персональных компьютеров (ПК), используемых как в государственных фирмах, так и в частных компаниях, возросла опасность несанкционированного доступа

кбазам данных, содержащихся в их памяти. Частные службы безопасности приступили к анализу степени риска, угрозе которого подвергаются ПК, и предлагают некоторые меры по обеспечению безопасности данных.

Так, автоматизация рабочих мест сотрудников и создание локальных вычислительных сетей позволили выявить уязвимые места, где имеется опасность незаконного проникновения в массив данных ЭВМ государственных и частных фирм.

Вотличие от больших и средних вычислительных комплексов, ПК, как правило, не располагают, достаточными аппаратами и программными средствами защиты данных от несанкционированного доступа. Сами пользователи часто не осознают реальную опасность подобных махинаций, и поэтому необходима разработка универсальной системы защиты данных.

Винформационных центрах по обработке данных содержится информация, требующая дополнительной обработки и анализа. В то же время на рабочие места сотрудников, обслуживающих ПК, поступают уже готовые к использованию сведения конфиденциального характера, которыми могут воспользоваться посторонние лица. ПК выдает по требованию пользователя в диалоговом режиме всю необходимую информацию, в том числе и в напечатанном виде. ПК может обеспечить связь с любым рабочим местом других сотрудников. Его потенциал очень велик, несмотря на некоторую ограниченность возможностей запоминающих устройств и времени обработки данных.

При организации деятельности по борьбе с несанкционированным доступом в базы данных ПК необходимо уделять внимание следующим аспектам: выявлению лиц, имеющих возможность такого доступа; объектам их воздействия; используемым ими методам; способам противодействия.

Для фирм, производящих ПК, рекомендации службы безопасности состоят в следующем:

– должны постоянно разрабатываться технологии создания новых аппаратных и программных средств защиты баз данных;

32

–крайне важно проводить необходимые организационные мероприятия по совершенствованию имеющихся средств аппаратной и программной защиты данных, что, прежде всего, относится к разработчикам математического обеспечения для ПК.

По данным французских индустриальных служб безопасности, правонарушители располагают большим набором технических средств

испособов их использования, с помощью которых они могут подключаться к информационным сетям и иметь доступ к базам данных:

–процессор ПК и вся периферийная аппаратура (принтеры, накопители на магнитных дисках, лентах и т.д.) могут быть подвержены как непосредственному, так и опосредованному несанкционированному доступу;

–в программы, используемые в ПК, могут быть внесены определенные изменения с целью незаконного получения необходимых данных;

–с помощью доступных средств, используемых при подключении к каналам связи в информационно-вычислительных сетях, в систему могут проникать посторонние лица;

–правонарушения совершаются в основном внутренним техническим персоналом фирм, который обслуживает ЭВМ;

–к другой категории злоумышленников относятся посторонние лица, которые, подключаясь к линиям связи, используют в корыстных целях информацию, содержащуюся в банках данных центральных ЭВМ.

Выявлены следующие процедуры несанкционированного доступа к информации:

–при копировании выходных данных, содержащихся в ПК;

–с помощью ввода специальной подпрограммы (способ «троянского коня»);

–путем использования личного пароля оператора;

–посредством ознакомления с данными, содержащимися в ПК и выведенными на печать;

–путем знакомства с документацией, оставленной без присмотра. Службы промышленной безопасности предлагают следующую

методику организационной структуры фирмы в работе ПК:

– она должна быть построена таким образом, чтобы служащие, имеющие отношение к работе с ПК, располагались отдельно друг от друга;

33

–следует обеспечить ограниченный доступ пользователя к конфиденциальной информации;

–должно фиксироваться всякое обращение в ПК (какие данные, в какое время и кому предоставлялись), после чего эти сведения должны быть проанализированы.

На всех этапах работы сотрудников фирмы с персональным компьютером необходимо тесное взаимодействие с персоналом службы безопасности.

Кроме того, по мнению экспертов по вопросам безопасности, во Франции необходимо дальнейшее совершенствование уголовного законодательства по борьбе с компьютерной преступностью путем повышения эффективности гражданского и уголовного права, выработки новых правил и процедур работы с ЭВМ, исключающих возможность их использования в преступных целях.

Помимо обеспечения безопасности работы с персональным компьютером, французские специалисты предлагают более широкую, комплексную, корпоративную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах фирмы или банка. Разработка такой программы напрямую связана с увеличением в стране количества компьютерных махинаций и преступлений.

Предлагаемая ниже программа по сути является одной из новейших и комплексных систем организационно-технических мероприятий по защите от несанкционированного проникновения в компьютеры. Она имеет следующие основные этапы реализации:

–учет специфики организации, в которой используется данный компьютер;

–охрана рабочих помещений, в первую очередь, аппаратного зала (комнаты);

–генерация или выбор пароля для программы;

–защита информации, касающейся устройства набора номера;

–применениепаролей,состоящих, покрайней мере,изсеми знаков;

–регулярная замена паролей;

–замена заводских идентификационных номеров;

–смена паролей после увольнения служащих фирмы или банка, имевших доступ к компьютеру;

–ограничение доступа рядового персонала к терминалам, имеющим выход на особо важные массивы данных;

34

–эффективный управленческий контроль за персоналом, поскольку большинство компьютерных преступлений совершаются самими сотрудниками;

–периодическая проверка деловых операций и личных счетов сотрудников фирмы или банка.

5.9.Виды защищаемых сведений

5.9.1. Тайна национальной обороны

Проблемы защиты информации во Франции решаются с особой тщательностью, детально и всесторонне. Среди видов тайн в отдельных исследованиях называются: тайна национальной обороны, профессиональная тайна и коммерческие секреты.

Государственные секреты во Франции обозначаются понятием «тайна национальной обороны» (отдельные авторы используют термин «тайна национальной защиты»). Применение такого понятия во многом объясняется использованием общего принципа, в соответствии с которым информация считается в первую очередь фактором национальной обороны и безопасности, и в отношении нее действует требование обеспечения ее секретности без учета того, наносит ли ее разглашение ущерб национальным интересам или нет.

Такой подход нашел применение и в обозначении уровней секретности информации: «очень секретно – оборона», «секретно – оборона», «конфиденциально – оборона».

Вопросы защиты государственной тайны нашли отражение в четвертой книге уголовного кодекса Франции «О преступлениях и проступках против науки, государства и общественного порядка». В соответствии со ст. 413-9 уголовного кодекса характер тайны национальной обороны имеют важные для национальной обороны сведения, технологии, методы, предметы, документы, информационные данные, в том числе содержащиеся в памяти ЭВМ, данные картотек, ставшие объектом специальных защитных мер, предусмотренных соответствующим декретом государственного совета Франции и направленных на исключение их распространения или предоставления недозволенным лицам. В данном определении, в отличие от понятия государственной тайны в РФ, не раскрывается конкретно состав защищаемых областей деятельности государства (военная, внешнеполитическая, экономическая, разведывательная, контрразведывательная, оперативно-разыскная), а указывается только на важность такой

35

информации для национальной обороны, что позволяет расширять состав защищаемых сведений. Особо отличаются данные, содержащиеся в памяти ЭВМ или картотеках, являющиеся объектом защитных мер, что свидетельствует о значимости этого направления работ

вобщей системе мер по защите информации во Франции.

Кпреступным деяниям, связанным с разглашением государственной тайны во Франции, относятся: измена, в том числе посягательства, связанные с передачей иностранной державе секретных сведений о национальной обороне; подстрекательство к измене; шпионаж; действия, направленные на получение незаконного доступа к государственным секретам; обманное проникновение на охраняемый объект; организация скрытой системы получения защищаемой информации; несанкционированное производство зарисовок или фотосъемок в защитной зоне; сбор сведений, не являющихся случайными, но передача информации о совокупности которых может нанести ущерб интересам национальной обороны; умышленное или неосторожное разглашение секретной информации, уничтожение документов или предметовносителей секретной информации лицом, уполномоченным на их хранение; получение, разглашение и уничтожение секретной информации лицом, не имеющим права на доступ к ней; передача изобретений, связанных с интересами национальной обороны; разглашение военной информации, не подлежащей опубликованию; недонесение о деятельности, наносящей вред интересам национальной обороны.

Различие составов измены и шпионажа определяется по субъекту преступления: деяние, совершенное гражданином или военнослужащим Франции, представляет собой измену, а преступление, совершенное гражданином или военнослужащим другой страны, лицом без гражданства рассматривается как шпионаж.

5.9.2. Защита коммерческой тайны

Во Франции защита коммерческой тайны при отсутствии специализированного нормативного акта осуществляется на основе применения общих норм гражданского, трудового и уголовного права. Законодательство Франции включает следующие направления защиты коммерческой тайны:

– в рамках трудовых отношений на работника возлагается обязанность поддерживать режим конфиденциальности информации, при

36

этом работник не вправе конкурировать с работодателем после увольнения;

–предусмотрена гражданско-правовая ответственность за «злоупотребление доверием», т.е. разглашение коммерческой тайны лицом, которому она доверена обладателем;

–предусмотрена уголовная ответственность для государственных служащих и должностных лиц контролирующих органов за разглашение конфиденциальной информации.

Аналогичным образом проблема защиты коммерческой тайны решается еще в целом ряде европейских государств, например в Финляндии, Швейцарии и др.

5.9.3. Охрана персональных данных. Система правовых

иорганизационных средств защиты персональных данных

Кмеждународным договорным документам следует отнести Конвенцию о защите лиц в отношении автоматизированной обработки данных личного характера, подписанную в Страсбурге 28 января 1981 г. Данная конвенция вступила в силу 1 октября 1985 г. и во Франции была официально одобрена в соответствии с законом № 82890 от 19 октября 1982 г. и декретом № 85-1203 от 15 ноября 1985 г. Потребовалось почти 4 года для того, чтобы конвенция вступила в силу во Франции, так как необходимо было привести законодательство в соответствие с требованиями конвенции и соблюсти сложную процедуру вступления ее в силу.

В преамбуле документа говорится о приоритете права, правах человека и основных свободах, а также о свободе информации без границ. Цель конвенции – гарантировать на территории каждой страныучастницы каждому физическому лицу, вне зависимости от национальности или места жительства, соблюдение его основных прав и свобод, включая право на частную жизнь при автоматизированной обработке сведений личного характера («защита сведений»). Далее идут определения понятий: «сведения личного характера», «автоматизированная картотека», «автоматизированная обработка», «владелец картотеки».

Принятый в 1978 г. закон о защите информации определяет право использования персональных данных государственными и коммерческими структурами. Согласно этому закону граждане Франции имеют право своевременно получать сведения, касающиеся причин сбора

37

конфиденциальной информации сторонними организациями, право на изменение личной информации, а в отдельных случаях и уничтожение ее. Позднее, 1 октября 1998 г., в закон были внесены коррективы, позволяющие привести его в соответствие с Директивой Европейского Союза о защите информации, которая была принята в 1995 г.

Закон о свободе коммуникаций вступил в силу 28 июня 2000 г. В ходе принятия данного закона в верхней палате французского парламента разразились бурные дискуссии, вызванные тем, что первоначальный вариант закона обязывал пользователей при регистрации у провайдера или хостинговой компании указывать правдивые сведения о себе. Предлагалось, что за достоверность данной информации должны нести ответственность как пользователь, так и регистрирующая его компания. Под давлением правозащитных организаций в закон были внесены поправки, закрепляющие реально существующее положение дел. Согласно окончательному варианту закона провайдер или хостинговая компания обязаны требовать от пользователя указания данных о себе, но не обязаны проверять их достоверность.

Являясь членом Совета Европы, Франция 28 января 1981 г. подписала и ратифицировала Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных, а также Европейскую конвенцию о защите прав и основных свобод человека. Франция, являющаяся членом Организации по экономическому сотрудничеству и развитию, приняла директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.

В конце 1960-х – начале 1970-х годов в центре внимания французского общества и правительства оказалась «informatique» (т.е. «информатика», компьютерно-информационная технология). На всех уровнях власти и общества царила уверенность, что эта новая отрасль станет важнейшим элементом национальной экономики. Национальный информационный план 1971 г. продемонстрировал стремление французов к сильной компьютерной индустрии, автоматизации публичного сектора и проникновению компьютерной обработки данных на все уровни экономики и общества. В тот период времени была введена должность уполномоченного по информатике при премьерминистре Франции, одним из главных приоритетов которого были координация и организация взаимосвязей банков данных в публичной администрации.

38

Знаменательно, что уже в 1970 г. необходимость защиты прав частной жизни была официально признана во Франции. Одна из высших судебных инстанций страны по своей инициативе провела в 1969–1970 гг. исследование взаимосвязи компьютеризованной информации и гражданских свобод и обнародовала результаты этого исследования, рекомендовав следующее: «Ни одна из автоматизированных систем не может содержать информацию о религиозных, расовых, политических или иных вопросах интимного характера, и все такие системы должны соответствовать требованиям закона по вопросам амнистии и реабилитации. Персональные данные не могут быть разглашены без предварительного санкционирования, а субъект данных имеет право заранее знать все детали такого санкционирования, так же как и право доступа ко всем файлам, имеющим к нему отношение. Берущие на себя ответственность за создание и техническое обслуживание файлов персональных данных несут также ответственность за то, чтобы сделать публичное заявление о хранимых ими файлах и данных, получить специальную санкцию на распространение их файлов и предпринять необходимые технические меры предосторожности для защиты их файлов от несанкционированного посягательства».

Таким образом, французское общество не только не впало в безоглядную эйфорию от перспектив информатики, но и старалось осознать те опасности для гражданских свобод, которые несет с собой эта новая отрасль.

Национальный информационный план был сконцентрирован на построении экономичных банков данных. Первыми должны были быть автоматизированы системы персональных данных правительственных департаментов, ответственных за финансы и общественную безопасность, персонал гражданской государственной службы, национальной системы регистрации водительских лицензий, системы хранения архивных документов, системы здравоохранения и госпиталей. Проблемы стоимости и стандартизации были главным вызовом этой программе. Для избежания дублирования однородной информации в разных информационных системах (что многократно повышает стоимость информатизации) необходимо было обеспечить возможность совмещения данных из пространственно и ведомственно распределенных банков данных, т.е. возможность проведения процедур, которые, как известно, неосуществимы без привязки всех данных по

39

конкретному объекту данных к единому идентификационному коду, присвоенному этому субъекту данных. Планировалось присвоить идентификационные коды всем бизнес-предприятиям (проект SIRENE) и всем физическим лицам (проект SAFARI, предусматривавший использование номеров социального страхования граждан) и использовать эти коды в качестве связующего элемента между различными базами и банками данных.

Французское общество быстро поняло, что осуществление проекта SAFARI создает предпосылки для создания «Большого брата» – национальной системы тотальной компьютерной слежки за частной жизнью граждан. Взрыв общественного возмущения был настолько сильным, что премьер-министр запретил установление любой новой взаимосвязи между файлами персональных данных без его санкции и предписал министру юстиции учредить комиссию для разработки исчерпывающих правил по обращению с персональной информацией. Так, на волне общественного протеста против использования универсальных персональных идентификаторов родилась французская национальная комиссия по обработке данных (информатике) и гражданским свободам. Официальный статус этой комиссии был придан президентским указом от 8 ноября 1974 г., в котором цель создания комиссии определялась следующим образом: «… в течение шести месяцев предложить правительству меры, нацеленные на гарантию развития обработки данных в публичном, смешанном и частном секторах, при полном уважении к неприкосновенности частной жизни, к индивидуальным и общественным гражданским свободам».

В отчете, представленном 27 июня 1975 г., комиссия, помимо конкретных предложений, изложила свою позицию по отношению к стоящим перед ней проблемам: «В настоящее время посягательства на гражданские свободы во Франции, проистекающие от использования компьютеров, являются ограниченными. Однако использование компьютеров находится лишь на ранней стадии. Оно содержит в себе определенные риски, которые, хотя и не фатальны, но защититься от них можно только если предпринять соответствующие меры. Поскольку большинство этих мер сможет дать эффект только постепенно, то мы уверены, что время для действий пришло».

На основании предложений комиссии министерство юстиции разработало законопроект, после полугодового обсуждения которого сенатом и Национальной ассамблеей был принят базовый французский

40

закон в области защиты персональных данных – закон 1978 г. об обработке данных, файлах данных и индивидуальных свободах (или, как его еще называют, закон № 78-17 от 6 января 1978 г.). Он является центральным элементом в системе правового регулирования компьютерной обработки и использования персональных данных.

Порядок сбора, обработки и использования персональных данных без использования компьютерной техники (вручную) устанавливает закон № 78-753 от 17 июля 1978 г., который предоставляет гражданам право доступа к их персональным данным, хранящимся в ручных архивах правительственных органов.

Закон 1978 г. о потребительском кредите в ст. 27 регламентирует сбор персональных данных о потребителях кредита. Другие законы предоставляют потребителям право ограничивать использование третьей стороной их номера телефона или факса при проведении маркетинговых мероприятий (нарушение этих законоположений преследуется по закону как уголовно наказуемое деяние). Согласно ст. 777-3 уголовно-процессуального кодекса, запрещается сбор персональных данных о лицах, отбывающих тюремное заключение.

Конфиденциальность частной корреспонденции в почтовой связи или в области телекоммуникаций является фундаментальным правилом, гарантируемым почтовым кодексом и кодексом наказаний. Закон от 29 июля 1982 г. об аудиовизуальных коммуникациях и закон от 30 сентября 1986 г. о свободе коммуникаций налагают на контролеров файлов обязательство применять положения базового закона о защите данных (закон № 78-17 от 6 января 1978 г.).

Закон № 78-17 сделал Национальную комиссию по обработке данных (информатике) и гражданским свободам действующей на постоянной основе. Комиссия наделена полномочиями для обеспечения соблюдения вышеупомянутого закона, «помимо всего прочего, путем информирования всех заинтересованных лиц об имеющихся у них правах и обязанностях, а также путем сотрудничества с ними и контроля за применением методов и средств обработки персональных данных. В этих целях комиссия должна быть наделена полномочиями издавать обязательные для исполнения документы в случаях, имеющих прямое отношение к настоящему закону» (ст. 6).

Несмотря на то, что комиссия является органом национальной администрации, закон гарантирует ей полную свободу действий. Независимость комиссии обеспечивается, в частности, составом ее членов: