Развитие современных информационных технологий сопровождается ростом числа компьютерных преступлений, связанных с хищениями информации; в ряде случаев такие преступления влекут за собой крупные материальные потери. Как указывается в соответствующих исследованиях, около 58% опрошенных пострадали от компьютерных взломов в течение года. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов, более 66% потерпели убытки в размере 50 тыс. долларов. Почти четверть из общего числа «атак» были нацелены на промышленные секреты или документы, представляющие интерес для конкурентов атакуемых фирм, т. е. находились в сфере промышленного шпионажа.
Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 Г. № 24-ФЗ (с изменениями от 10.01. 2003 г.) определяет информационные ресурсы как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами. Этот же закон определяет, что собственник информационных ресурсов имеет право устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним, а также определять условия распоряжения документами при их копировании и распространении.
Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или сведений с ограниченным доступом. Федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон «О банках и банковской деятельности в РФ» ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков.
Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ:
—соответствующая информация неизвестна третьим лицам;
—к ней нет свободного доступа на законном основании;
—меры по обеспечению ее конфиденциальности принимает собственник информации.
В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Исходить можно только из принципа экономической выгоды и безопасности предприятия. Законом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны предоставлены руководителю юридического лица.
Федеральный закон «Об информации, информатизации и защите информации» устанавливает также цели защиты информации:
—предотвращение несанкционированного уничтожения и блокирования информации;
—сохранение государственной тайны, конфиденциальности документированной информации.
Для поддержания режима информационной безопасности особенно важны аппаратно-программные меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).
Информационная безопасность и методы ее обеспечения
Развитие информационных технологий привело к тому, что информация стала товаром, который можно приобрести, продать, обменять. При этом зачастую стоимость информации во много раз превосходит стоимость компьютерной системы, в которой она хранится. От уровня безопасности используемых информационных технологий зависит благополучие, а порой и жизнь многих людей.
Под информационной безопасностьюпонимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. Обычно выделяют три аспекта информационной безопасности:
—доступность— возможность за разумное время получить требуемую информационную услугу;
—целостность— актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
— конфиденциальность—защита от несанкционированного прочтения.
Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Эти компоненты можно разбить на следующие группы:
—аппаратные средства — компьютеры, их компоненты, периферийные устройства, линии связи и т. д.;
—программное обеспечение — операционные системы, системные и прикладные программные комплексы;
—данные — хранимые временно и постоянно базы данных, печатные, архивы, системные журналы и т. д.;
персонал — обслуживающий персонал и пользователи.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Причины случайных воздействий можно классифицировать следующим образом:
—аварийные ситуации в результате отключений электропитания, стихийных бедствий и пр.;
—отказы и сбои аппаратуры;
—ошибки в программном обеспечении;
—ошибки в работе персонала;
—помехи в линиях связи из-за воздействий внешней среды.
Под преднамеренными воздействиями понимаются целенаправленные действия нарушителя. Наиболее распространенным видом компьютерных нарушений является несанкционированный доступ (НСД), ведущий к хищению, изменению или уничтожению информации.
Особую опасность в плане НСД представляют компьютерные сети, компоненты которых распределены в пространстве и связаны физически с помощью сетевых линий и программно с помощью механизма сообщений. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может в этом случае предпринять атаку не только на конкретный компьютер, но ина информацию, передающуюся по сетевым каналам связи.