- •Амелин Р. В.
- •Информационная безопасность
- •Оглавление
- •Глава 1. Введение в информационную безопасность
- •1.1. Основные понятия
- •1.2. Угрозы информационной безопасности
- •1.3. Каналы утечки информации
- •1.4. Неформальная модель нарушителя
- •1.5. Информационная безопасность на уровне государства
- •Глава 2. Принципы построения защищенной АИС
- •2.1. Задачи системы информационной безопасности
- •2.2. Меры противодействия угрозам безопасности
- •2.3. Основные принципы построения систем защиты АИС
- •Глава 3. Модели безопасности
- •3.1. Понятие и назначение модели безопасности
- •3.2. Модель дискреционного доступа (DAC)
- •3.3. Модель безопасности Белла—ЛаПадулы
- •3.4. Ролевая модель контроля доступа (RBAC)
- •3.5. Системы разграничения доступа
- •Тест для самоконтроля № 1
- •Глава 4. Введение в криптографию. Симметричное шифрование
- •4.1. Основные понятия криптографии
- •4.2. Шифрование
- •4.3. Симметричное шифрование
- •4.4. Подстановочные алгоритмы
- •4.5. Перестановочные алгоритмы
- •4.6. Современные алгоритмы симметричного шифрования
- •4.7. Режимы функционирования блочных шифров
- •4.8. Скремблеры
- •4.9. Основные разновидности криптоанализа симметричных шифров
- •4.10. Проблемы симметричных алгоритмов
- •Тест для самоконтроля № 2
- •Глава 5. Шифрование с открытым ключом. ЭЦП
- •5.1. Алгоритмы шифрования с открытым ключом
- •5.2. Электронная цифровая подпись
- •5.3. Российский стандарт электронной цифровой подписи ГОСТ Р 34.10—2001
- •5.4. Российский стандарт хэширования ГОСТ Р 34.11—94
- •Глава 6. Криптографические протоколы
- •6.1. Понятие криптографического протокола
- •6.2. Протоколы аутентификации
- •6.3. Протоколы обмена ключами
- •6.4. Специфические протоколы
- •6.5. Генерация случайных чисел
- •Тест для самоконтроля № 3
- •Глава 7. Парольная защита
- •7.1. Роль парольной защиты в обеспечении безопасности АИС
- •7.2. Способы атаки на пароль. Обеспечение безопасности пароля
- •Глава 8. Компьютерные вирусы и борьба с ними
- •8.1. Общие сведения о компьютерных вирусах
- •8.2. Классификация вирусов
- •8.3. Файловые вирусы
- •8.4. Макровирусы
- •8.5. Сетевые черви
- •8.6. Загрузочные вирусы
- •8.7. Троянские кони
- •8.8. Технологии маскировки вирусов
- •8.9. Тенденции современных компьютерных вирусов
- •8.10. Борьба с вирусами
- •Глава 9. Средства защиты сети
- •9.1. Межсетевые экраны
- •9.2. Виртуальные частные сети (VPN)
- •9.3. Системы обнаружения вторжений (IDS)
- •Тест для самоконтроля № 4
- •Практические задания
- •1. Ролевая игра
- •2. Программирование
- •3. Использование прикладных программ
- •Список литературы
- •Глоссарий
- •Актуальные проблемы уголовно-правовой борьбы с посягательствами на компьютерную информацию (по УК РФ)
- •Статья 272. Неправомерный доступ к компьютерной информации
- •Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
- •Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
- •Глава 1. Криминологическая характеристика компьютерных преступлений
- •1.1. Криминологический анализ преступлений в сфере компьютерной информации
- •1.2. Особенности личности преступника, совершающего компьютерные преступления
- •Глава 2. Объект и предмет преступлений в сфере компьютерной информации.
- •2.1. Особенности объекта преступлений в сфере компьютерной информации
- •2.2. «Компьютерная информация» как предмет преступлений главы 28 УК РФ
- •2.2.1. Понятие компьютерной информации
- •2.2.2. Свойства компьютерной информации
- •2.3. Охраняемая законом информация
- •Глава 3. Уголовно-правовая характеристика преступлений в сфере компьютерной информации
- •3.1. Объективные признаки преступлений главы 28 УК РФ
- •3.2. Субъективные признаки преступлений в сфере компьютерной информации
- •Литература
ее блокирование (поскольку, в период работы К. законные пользователи не могли получить доступ к системе), то есть преступление, ответственность за которое предусмотрена ч. 1 ст. 272 УК РФ.
Наиболее часто компьютерные преступления выступают в качестве способа совершения следующих умышленных преступлений: воспрепятствование осуществлению избирательных прав граждан или работе избирательных комиссий (ст. 141 УК РФ); фальсификация избирательных документов, документов референдума или неправильный подсчет голосов (ст. 142 УК РФ); мошенничество (ст. 159 УК РФ); причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ); незаконное получение сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК РФ); диверсия (ст. 281 УК РФ) и др.
Интересно то, что квалифицированные составы преступлений 28-й главы несколько различаются. Ч.2 ст. 272 устанавливает повышенную уголовную ответственность за неправомерный доступ к компьютерной информации, совершенный группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Ч.2 ст. 273 и ч.2 ст. 274 в качестве квалифицирующего признака называют повлекшие по неосторожности тяжкие последствия. (Эта формулировка вызывает законный вопрос у многих авторов — а как же быть, если тяжкие последствия охватываются умыслом преступника?)
Под тяжкими последствиями понимаются выход из строя важных технических средств (в том числе оборонного значения, авианавигационной техники), повлекшие аварии, катастрофы, гибель людей, а также безвозвратная утрата особо ценной информации. В последнем случае понятие тяжких последствий является оценочным и определение объема причиненного вреда должно осуществляться с учетом совокупности всех полученных данных.
Подводя итоги, следует подчеркнуть, что совершенствование уголовного законодательства в сфере компьютерной информации, устранение многих белых пятен в нем, может быть достигнуто путем законодательного определения свойств конфиденциальности, целостности и доступности информации и установления их нарушения в качестве последствий рассматриваемых общественно опасных деяний.
3.2. Субъективные признаки преступлений в сфере компьютерной информации
Субъективная сторона компьютерных преступлений в настоящее время остается предметом полемики различных авторов. Это связано с тем, что прямых указаний на этот счет в Уголовном кодексе не содержится.
Согласно одной точке зрения можно говорить об умышленной форме вины в виде прямого или косвенного умысла. Другая точка зрения состоит в том, что преступления, предусмотренные ст. 272 и 273 УК РФ могут быть совершены только с прямым умыслом. Одним из аргументов является использование слова «заведомо» в формулировке ст. 273: «…создание программ для ЭВМ…, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации…».
Мы склоняемся к первой точке зрения. На практике преступник не всегда желает наступления вредных последствий, что особенно это характерно при совершении данного
преступления из озорства, или так называемого «спортивного интереса». В учебном пособии под редакцией Гаврилова в качестве примера приводятся действия лица, осуществляющего распространение CD-дисков с вредоносными программами, достоверно знающего о вредоносных последствиях такой программы (хотя бы по этикетке компакт-диска), но вместе с тем безразлично к ним относящегося. Очевидно, что целью такого лица является не наступление общественно опасных последствий, а получение прибыли за счет продажи дисков.
Таким образом, интеллектуальный момент вины, характерный для состава анализируемых преступлений, заключается в осознании виновным факта осуществления неправомерного доступа к охраняемой законом компьютерной информации, создания, распространения или использования вредоносных программ для ЭВМ либо нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. При этом виновный понимает не только фактическую сущность своего поведения, но и его социально-опасный характер. Кроме того, виновный предвидит возможность или неизбежность реального наступления общественно опасных последствий в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети. Следовательно, субъект представляет характер вредных последствий, осознает их социальную значимость и причинно-следственную зависимость. Волевой момент вины отражает либо желание (стремление) или сознательное допущение наступления указанных вредных последствий, либо, как минимум, безразличное к ним отношение.
В любом случае для квалификации действий как использования вредоносных программ необходимо доказать, что лицо заведомо знало о свойствах используемой программы и последствиях ее применения. Заметим, что в процессе создания программы могут проявиться случайные результаты, возникшие, например, в из-за ошибок разработчика, которые могут привести к указанным в ст. 273 последствиям. При этом подобный результат будет неожиданностью для самого разработчика (как в случае со знаменитым «червем» Морриса). По российскому законодательству, в подобных ситуациях лицо не будет нести уголовную ответственность, поскольку указанные последствия не охватываются его умыслом.
Открытым остается вопрос о том, должно ли лицо, осуществляющее неправомерный доступ к охраняемой законом компьютерной информации, осознавать факт неправомерности этого доступа.
Что касается ст. 274 УК РФ, то, поскольку субъектом соответствующего преступления является должностное лицо, априорно предполагается, что это лицо ознакомлено со всеми необходимыми должностными инструкциями и, нарушая правила эксплуатации ЭВМ, системы ЭВМ или их сети, не может впоследствии ссылаться на незнание этих правил.
В некоторых работах встречается суждение о том, что компьютерные преступления могут совершаться и по неосторожности. Мы считаем эту точку зрения ошибочной. Любое из преступлений, предусмотренных статьями 28-й главы, совершенное по неосторожности, исключает правовое основание для привлечения лица к уголовной ответственности, т.к., согласно ч.2 ст.24 УК, «деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей
статьей Особенной части настоящего Кодекса». О неосторожности в диспозиции ст. 272— 274 УК РФ не сказано, следовательно, деяние может быть совершено лишь умышленно.
Преступления, предусмотренные ч. 2 ст. 273 и ч.2 ст. 274, совершаются с двойной формой вины: умышленной (в виде прямого или косвенного умысла) по отношению к созданию, использованию и распространению вредоносных программ либо нарушению правил эксплуатации ЭВМ, их системы или сети, и неосторожной по отношению к наступившим тяжким последствиям. То есть, причинение тяжких последствий не охватывается умыслом виновного, однако он предвидит возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит, хотя должен был и мог предвидеть возможность наступления тяжких последствий.
Мотивы и цели компьютерных преступлений имеют факультативное значение для квалификации преступлений и были подробно нами проанализированы в первой главе настоящей работы.
Согласно ст. 20 УК РФ, субъектом преступлений, предусмотренных ч.1 ст. 272 и ст. 273 УК РФ может быть любое физическое лицо, достигшее к моменту преступной деятельности шестнадцатилетнего возраста. Обязательным условием привлечения лица к уголовной ответственности является вменяемость (ст. 21 УК РФ).
Вдвух последних квалифицированных составах преступления, перечисленных в ч. 2 ст. 272 РФ, а также в составе преступления, предусмотренного ст. 274 УК РФ имеется специальный субъект — лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. К таким лицам следует относить законных пользователей информации (операторов ЭВМ, программистов, абонентов системы ЭВМ), а также лиц, по характеру своей деятельности имеющих доступ к ЭВМ, системе ЭВМ или их сети (наладчиков оборудования, иной технический персонал, обслуживающий ЭВМ).
При этом необходимо подчеркнуть, что признание лица специальным субъектом преступления обусловлено не его особым положением (это бы противоречило принципу равенства граждан перед законом — ст. 4 УК РФ), а тем обстоятельством, что лицо именно вследствие занимаемого положения способно совершить такое преступление.
Абсолютное большинство лиц, совершающих неправомерный доступ к охраняемой законом компьютерной информации (до 70%) как раз и будет приходиться на долю указанной законодателем категории лиц. Использование своего служебного положения предполагает доступ к охраняемой законом компьютерной информации благодаря занимаемому виновным положению по службе. При этом действия лица хотя и находятся в пределах его служебной компетенции, но совершаются с явным нарушением порядка осуществления своих функциональных обязанностей, установленных законом или иным нормативным актом.
На субъект преступления, предусмотренного ст. 274 УК РФ, законом или иным нормативным актом возложена обязанность соблюдения правил эксплуатации ЭВМ в силу характера выполняемой трудовой, профессиональной или иной деятельности.
Влитературе до сих пор ведется полемика, следует ли считать квалифицированным субъектом лицо, имеющее законный доступ к сети Интернет. Понятие «сети ЭВМ», как отмечалось выше, законодательно не сформулировано и формально Интернет может попадать под эту категорию. Авторы, придерживающиеся другой точки зрения (например, А.Б. Нехорошев), замечают, что возможность законного доступа в Интернет в настоящее
время есть практически у каждого пользователя, и рассмотрение его в качестве сети ЭВМ, названной в п.2 ст.272 УК приводит к неосновательному расширению квалифицирующего состава преступления.