Методологическое и законодательное обеспечение безопасности компьютерной информации в Российской Федерации (уголовно-правовой аспект)
|
Скачать 4.77 Mb.
|
В Национальном стандарте ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» сказано, что информационная безопасность – это механизм защиты, обеспечивающий:- конфиденциальность: доступ к информации только авторизованных пользователей; – целостность: достоверность и полноту информации и методов ее обработки; – доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости47. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий, которые могут быть методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации48. В свою очередь, в ч. 1 ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации49. Достижение данных целей возможно путем правового регулирования, которое должно обеспечить целенаправленное воздействие на общественные отношения в информационном пространстве с помощью правовых (юридических) средств. Сами по себе информационные отношения возникают и развиваются во всех видах социальной деятельности: в сфере государственного управления, в конституционных, гражданско-правовых, административных, уголовно-правовых отношениях. Столь широкий спектр общественных отношений, возникающих в процессе обращения информации, требует того, чтобы вопросы информационной безопасности решались путем использования комплексного механизма правовой защиты на основе применения не только норм собственно информационного права, но и с использованием норм конституционного, административного, гражданского, хозяйственного, банковского и уголовного права. Таким образом, определенные виды информационных отношений в обществе регулируются правовыми нормами, которые, прежде всего, регламентируют параметры информационных процессов в той или иной сфере нормативно-правового регулирования. Безусловно, оборот различных видов информации (например, частной, коммерческой информации, которая составляет военную, государственную тайну), регулируется специальными правовыми нормами, которые соответствуют ее специфике. В зависимости от вида информации законодательство предусматривает наличие или отсутствие тех или иных ограничений или запретов. В связи с этим, анализ основных видов информации позволяет распределить ее на две группы: открытую, которая свободно распространяется в информационной сфере, и информацию ограниченного доступа, распространение которой возможно лишь на условиях конфиденциальности или секретности50. К открытой информации относится, например, информация, которая создается в процессе творчества и не относится к объектам авторского права; информация, которая передается СМИ; официальные документы; информация, которую личность не считает необходимой скрывать и добровольно обнародует в различных информационных источниках и т. Д. К информации ограниченного доступа относится, например, документированная информация о государственной, служебной, коммерческой тайне (в порядке защиты интересов государства, организации, предприятия); документированная информация, содержащая сведения, касающиеся научных, технологических, технических разработок (в порядке защиты секретов производства и науки); персональные данные граждан и лиц без гражданства (в порядке защиты тайны личной жизни) и т. Д.51. Однако, на наш взгляд, общепринятая схема «открытой и закрытой информации» не может до конца раскрыть особенности существующих исключений и ограничений, которые присутствуют в информационном обороте. Так, например, подобная схема не делает четких разграничений между информацией, содержащей государственную тайну, доступ к которой может быть предоставлен только ограниченному кругу лиц, и информацией, которая может быть передана любым заинтересованным лицам за соответствующее вознаграждение (те же ноу-хау). При этом, это может быть как передача копии этой информации, так и полная передача всех прав на подобную информацию. С другой стороны, говоря об открытой информации, опять же можно утверждать, что она может быть закрытой для определенного круга лиц. Например, это касается ст. 37 Закона Российской Федерации «О средствах массовой информации». В ней указано, что распространение выпусков специализированных радио- и телепрограмм эротического характера без кодирования сигнала допускается только с 23 часов до 4 часов по местному времени, если иное не установлено местной администрацией. В данном случае, речь идет об ограничении доступа к такого рода информации для детской и юношеской аудитории, хотя конкретно в данном законе об этом не сказано52. По мнению автора, основой классификации информационных отношений должны стать не понятия «открытости» или «закрытости» информации, а методы правового регулирования, касающиеся оборота (обращения) информации. Можно выделить два таких метода – диспозитивный и императивный. В соответствии с диспозитивным методом условия обращения информации, порядок ее использования, распространения, передачи прав третьим лицам определяются либо владельцем этой информации лично, либо на основе договора с заинтересованными лицами. Это не означает отсутствие нормативно-правового регулирования оборота этой информации, но в рамках этого регулирования существует соответствующая свобода действия для участников информационного обмена. Например, сведения о себе, которые лицо добровольно выложило в социальной сети в режиме общего доступа, можно свободно использовать (ссылаться на них, цитировать информацию и т.д.), не получая, при этом, согласие лица, которое обнародовало эту информацию. Также существует специфический оборот информации, регулируемый императивным методом, характеризующимся наличием четких законодательных предписаний, отмена и изменение которых по согласию сторон невозможна. Это касается, например, установленных законом прямых ограничений в отношении государственной, служебной, врачебной, адвокатской тайны, определенных видов статистической информации, персональных данных и т.д. Ценность такой информации, а также ее способность при недобросовестном использовании нарушать права, свободы и законные интересы собственника обусловливает необходимость правового регулирования оборота информационного потока с целью обеспечения информационной безопасности государства, личности, предприятий и организаций. Такая информация может являться предметом информационного обмена, храниться на жестком диске компьютера, в компьютерных сетях, на иных информационных носителях. В ряде случаев, в зависимости от социальной значимости информации, ее охрана обеспечивается нормами уголовного права, хотя, при этом, следует указать на тот факт, что непосредственно понятие «информационая безопасность» в Уголовном кодексе РФ не используется. Однако, анализ терминологии, касающейся информационных отношений в уголовно-правовом смысле, позволил Д.А. Калмыкову сделать вывод, что в действительности, информационная безопасность являет собой совокупность самых разнообразных отношений, которые содержат информационный компонент в качестве неотъемлемого элемента53. Что касается оснований уголовной ответственности за преступления в информационной сфере, то они, по сути, являются традиционными для любого уголовно-наказуемого деяния. Речь идет о противоправности, которая выражается в нарушении определенных правовых норм, обеспечивающих информационную безопасность; об общественной опасности; о наказуемости, особенностью которой является то, что за то или иное деяние предусмотрена уголовная ответственность; о виновности, которая выражается в форме действия или бездействия; о причинной связи между противоправным действием и наступившими в результате его отрицательными последствиями. Говоря о конкретизации понятия «безопасность компьютерной информации» в уголовно-правовом смысле, по нашему мнению, оно, являясь объектом уголовно-правовой защиты, представляет собой состояние защищенности информации, которая может являться предметом информационного обмена, храниться на жестком диске компьютера, в компьютерных сетях, на иных информационных носителях. Непосредственно состояние безопасного обращения компьютерной информации достигается, в том числе, и уголовно-правовыми мерами, определяющими преступность и наказуемость деяний, связанных с посягательствами против компьютерной информации. По мнению автора, предметом преступлений против компьютерной информации являются сведения (сообщения, данные), представленные в виде электрических сигналов, которые могут храниться, использоваться или передаваться с применением средств компьютерной техники. К предмету преступлений против компьютерной информации не могут быть отнесены средства компьютерной техники и средства хранения компьютерной информации. По мнению ученых, состояние безопасности в данной сфере представляет собой защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. При этом, безопасность в сфере обращения компьютерной информации не сводится исключительно к ее защите, поскольку субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов54. Иными словами можно констатировать, что безопасность компьютерной информации включает в себя две составляющие: техническую, требующую для достижения состояния безопасности использования средств технической защиты, а также юридическую, когда защита информации осуществляется посредством использования средств правового регулирования. Если техническая составляющая способна обеспечить безопасное обращение компьютерной информации, хранящейся на любом носителе, в том числе на жестком диске компьютера, на мобильном телефоне, в локальной либо глобальной сети, на иных носителях информации, то юридический смысл зашиты информации подразумевает ее защиту нормами конституционного, гражданского, информационного, административного и уголовного права. По мнению автора, безопасность компьютерной информации следует определить как состояние ее защищенности от угроз неправомерного доступа и вредоносных компьютерных программ. Уголовная ответственность за преступления против информационной безопаности определяется статьями Уголовного кодекса РФ, которые расположены в различных разделах и главах. В действующем УК из общего перечня информационных отношений, которые подлежат уголовно-правовой охране, особо выделены отношения, возникающие в связи с уголовно наказуемыми посягательствами в сфере компьютерной информации (гл. 28 УК РФ ). Речь идет о неправомерном доступе к компьютерной информации (ст. 272 УК РФ), о создании, использовании и распространении вредоносных компьютерных программ (ст. 273 УК РФ), о нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ). В разделе «Преступления против личности» предусмотрен состав такого преступления, как клевета (ст. 128.1), в разделе «Преступления в сфере экономики» вошли такие составы преступлений, как мошенничество в сфере компьютерной информации (ст. 159.6), фальсификация единого государственного реестра юридических лиц, реестра владельцев ценных бумаг или системы депозитарного учета (ст. 170.1), незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183), изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов (ст. 187), злостное уклонение от раскрытия или предоставления информации, определенной законодательством Российской Федерации о ценных бумагах (ст. 185.1), незаконный экспорт из Российской Федерации или передача сырья, материалов, оборудования, технологий, научно-технической информации, (ст. 189). Нормы, регулирующие информационные преступления, имеются и в разделе, объединяющем «Преступления против общественной безопасности и общественного порядка», например, заведомо ложное сообщение об акте терроризма (ст. 207), сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (ст. 237). В свою очередь, в разделе «Преступления против государственной власти» предусмотрена уголовная ответственность за шпионаж (ст. 276), разглашение государственной тайны (ст. 283), а в главе «Преступления против порядка управления» данного раздела имеется статья, предусматривающая уголовную ответственность за разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа (ст. 320 УК). Указанные статьи УК РФ не охватывают всех возможных преступных посягательств на информационную безопасность. Фактически, «информационная» составляющая присутствует и в иных составах преступлений, которые, на первый взгляд, не посягают на информационную безопасность, не ставят целью хищение, уничтожение, модификацию информации, но, тем не менее, имеют ярко выраженное негативное информационное воздействие. Например, такие составы, как незаконное изготовление и оборот порнографических материалов или предметов (ст. 242), а также изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних (ст. 242.1), имеют непосредственное отношение к информационной безопасности, поскольку посягают на психологические основы жизнедеятельности личности в сфере морали и нравственности посредством распространения информации и материалов порнографического содержания. Таким образом, можно констатировать, что, несмотря на отсутствие в нормах УК такого понятия, как информационная безопасность, фактически исследуемое понятие входит в целый ряд норм УК РФ и на семантическом уровне присутствует в диспозициях различных статей Уголовного кодекса РФ в виде специфических терминов таких, как «разглашение», «распространение», «незаконное изготовление», «незаконный оборот». Несмотря на то, что информационная безопасность традиционно ассоциируется, главным образом, с компьютерными технологиями и совершаемыми в этой сфере правонарушениями, значительное количество статей Уголовного кодекса РФ направлены на защиту иных отношений, в которых использование компьютерной техники и информационных технологий не предполагается либо таковое использование не является определяющим. Речь идет об обеспечении сохранности различных видов тайн (личной, государственной), обеспечении неприкосновенности частной жизни, а также чести и достоинства человека и гражданина, об обеспечении права на доступ к информации, права на комфортную информационную среду, не посягающую на мораль, нравственность, психологический комфорт личности. § 1.2 Понятийный аппарат, применяемый при исследовании преступлений в сфере компьютерной информацииПонятийный аппарат, касающийся проблем исследования преступности, является сложной, динамичной системой, которая формировалась на протяжении столетий, и данное развитие интенсивно происходит в настоящее время. В частности, динамический характер лексики уголовного права самым тесным образом связан с динамическими процессами, происходящими в информационной сфере, с появлением новых форм преступности в сфере обращения информации. Непосредственно рассматривая вопрос терминологии компьютерных преступлений, необходимо не только перечислить используемые в практике и в законодательстве термины, но и рассмотреть их содержание, то есть дать им определение. Сама же юридическая лексика неоднократно была предметом исследований, как в историческом, так и в современном аспектах ее изучения55. Однако при этом необходимо отметить следующее: терминология в сфере компьютерных технологий в силу своей относительной молодости (по крайней мере, по сравнению с другими отраслями знаний) не устоялась и не получила четкого закрепления даже в специальных науках, кибернетике. Тем более сложно приходится специалистам права, так как право требует строгих определений, и при этом они должны быть основаны на разработках соответствующих наук. Кроме того, многие авторы, пишущие по теме компьютерных преступлений, уделяют основное внимание анализу действующего на момент написания работы законодательства и едва затрагивают теорию, а, следовательно, и анализ существующей терминологии. Существует еще одна проблема, которая заключается в следующем. В терминологии компьютерных технологий существуют так называемые «слова-ловушки», которые порождают интуитивное понимание, и даже специалистам кажется, что пользоваться ими можно без дальнейших уточнений, В качестве примера можно привести понятие «киберпространства». Данное явление находится на границах между дисциплинами, является синергетическим и потому чрезвычайно сложным для определения. Однако его широкое использование в праве приводит к необходимости дать ему определение, соответствующее хотя бы сегодняшней реальности. И, безусловно, с развитием науки и эволюцией самого явления, необходимо будет пересматривать его содержание Анализ терминологического поля безопасного обращения компьютерной информации в первую очередь требует уточнения содержания термина самого «компьютерная информация», который самым тесным образом связан с понятием «компьютерные данные». В Конвенции о киберпреступности56 компьютерные данные определены как любое представление фактов, информации или понятий в форме, подходящей для обработки в компьютерной системе, включая программы, способные заставить компьютерную систему выполнять ту или иную функцию»39. На Десятом Конгрессе ООН по предупреждению преступности и обращению с правонарушителями в Справочном документе для семинара-практикума по преступлениям, связанным с использованием компьютерной сети, термин «данные» определялся как факты, инструкции или концепции, излагаемые обычным образом, в форме, поддающейся пониманию человеком или автоматизированной обработке. Исходя из того, что главной функцией любой компьютерной системы является обработка данных, большое внимание уделяется понятию электронных данных и их носителям. В том же документе электронные данные определяются как серия магнитных точек в постоянной или временной запоминающей среде или форме электронных зарядов в процессе их передачи. Если данные закреплены на конкретном носителе, то они поддаются идентификации и контролю. Например, данные на дискете могут быть четко определены. В то же время данные, обрабатываемые в рамках компьютерной системы, нельзя идентифицировать и контролировать по их носителю. Операционные системы перемещают данные из одного места в запоминающей среде в другое, что делает невозможным выработку единого юридического подхода к определению данных, их идентификации и контролю. Таким образом, необходимо выделить такой признак данных, который позволит их однозначно идентифицировать. В качестве такого признака можно было бы предложить информацию, которая в них содержится, так как она обладает таким свойством, как уникальность. Однако не исключена ситуация, когда файлы, содержащие одинаковую информацию, находятся в разных местах запоминающей среды. Следовательно, к предыдущему признаку необходимо добавить и местоположение данных в запоминающей среде. В то же время нельзя согласиться с выраженной в данном документе позицией, что, с юридической точки зрения, данные на информационном носителе могут рассматриваться как единый и ощутимый материальный предмет. Представляется, что самостоятельным объектом является не информационный носитель, который может быть украден не из-за того, что информация, размещенная на нем, представляет ценность для преступника. Самостоятельным предметом являются данные, а носитель является лишь их материальным средством накопления, в этой связи информационный носитель и данные могут рассматриваться как объекты различных преступлений, а именно, преступлений – против собственности и преступлений, направленных против безопасного обращения компьютерной информации. Кроме того, они относятся к различным видам объектов: информационный носитель – к материальным, а данные – к нематериальным. Таким образом, признавать единым предметом информационный носитель с находящимися на нем данными нельзя. Отдельного рассмотрения требует термин «компьютерная информация». В Соглашении о сотрудничестве государств-участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации она определена как информация, находящаяся в памяти компьютера, на машинных или иных носителях, в форме, доступной для восприятия ЭВМ, или передающаяся по каналам связи57. В науке предлагается следующее определение понятия «компьютерная информация» – «сведения об объективном мире и происходящих в нем процессах, целостность, конфиденциальность и доступность которых обеспечивается с помощью компьютерной техники, и которые имеют собственника и цену». В то же время можно утверждать, что не всякая информация охраняется законом, хотя само понятие «охраняемая законом компьютерная информация», как указывал Ю. Гульбин, расплывчато и включает в себя практически всю информацию на машинном носителе58. Такая неопределенность наблюдается и в научном уголовно-правовом дискурсе, например, в работе Б.Т. Разгильдиева и А.Н. Красикова, по аналогии с текстом Закона «Об информации, информационных технологиях и о защите информации», указано, что в ст. 272 Уголовного Кодекса РФ предметом преступного посягательства выступает информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах. Эти сведения сконцентрированы в информационных системах (банках данных)59. |
Похожие:
 |
Уголовно-исполнительный кодекс российской федерации Статья Цели и задачи уголовно-исполнительного законодательства Российской Федерации |
 |
Пояснительная записка к проекту приказа Минюста России «Об утверждении... Уголовно-исполнительного кодекса Российской Федерации и Указа Президента Российской Федерации |
|
Основная образовательная программа (ооп) бакалавриата, реализуемая... Скф фгбоуво «ргуп» по направлению подготовки 40. 03. 01 (030900. 62) Юриспруденция (государственно-правовой, гражданско-правовой,... |
|
Доклад о деятельности Управления Министерства юстиции Российской... Обеспечение защиты прав и свобод человека и гражданина в рамках исполнения полномочий по оказанию международно-правовой помощи |
|
«Нормативно-методологическое обеспечение пилотного проекта по организации... |
|
Регламент размещения информации о деятельности федеральных Совета судей Российской Федерации от 27 января 2011 г. N 253, а также с учетом норм Закона Российской Федерации от 27 декабря 1991... |
|
"Положение. Техническая эксплуатация промышленных зданий и сооружений"... Министерства экономики Российской Федерации, имеющей право утверждающей подписи отраслевой нормативной правовой документации по охране... |
|
Правила внутреннего трудового распорядка Российской Федерации, Уставом ано "ноц "аспект-москва". Они призваны способствовать правильной организации работы ано "ноц "аспект-москва"... |
|
Законодательное регулирование ФЗ, Федерального закона от 26. 07. 2006 №135-фз «О защите конкуренции», Гражданского кодекса Российской Федерации, Бюджетного кодекса... |
|
Учебное пособие является логическим продолжением пособия «Методы... Пласковский А. М., Новопашенный А. Г., Подгурский Ю. Е., Заборовский В. С. Методы и средства защиты компьютерной информации. Межсетевое... |
|
В соответствии с постановлением Правительства Российской Федерации... Федеральной службы по экологическому, технологическому и атомному надзору от 7 октября 2015 г. №400 зарегистрирован Министерством... |
|
Инструкция по обеспечению безопасности эксплуатации средств криптографической... Скзи) подлежащей обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну,... |
|
Система классификации информации Классификатор информации, запрещенной законодательством Российской Федерации к распространению, применяется в единообразном виде... |
|
Доклад о деятельности Управления Министерства юстиции Российской... Обеспечение защиты прав и свобод человека и гражданина в рамках исполнения полномочий по оказанию международно-правовой помощи |
|
Курсовая работа по дисциплине: «Технические средства защиты информации» Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности,... |
|
Постановление от 13 декабря 2006 г. N 33 об утверждении санитарных... Федерации от 24 июля 2000 г. N 554 (Собрание законодательства Российской Федерации, 2000, n 31, ст. 3295) с изменениями в редакции... |