9. Непродуманной кадровой политикой в вопросах приема на работу и увольнения. Здесь показателен пример, имевший место в августе 1983 г. на Волжском автомобильном заводе в г. Тольятти. Следственной бригадой Прокуратуры РСФСР был изобличен программист, который из мести руководству предприятия умышленно внес изменения в программу для ЭВМ, обеспечивающей заданное технологическое функционирование автоматической системы подачи механических узлов на главный сборочный конвейер завода. В результате произошел сбой в работе главного конвейера, и заводу был причинен существенный материальный вред: 200 легковых автомобилей марки “ВАЗ” не сошло с конвейера, пока программисты не выявили и не устранили источник сбоев. При этом материальные потери составили 1 млн. руб. в ценах 1983 г.[49] Мировой опыт развития компьютерной техники свидетельствует, что специалисты высокой квалификации, неудовлетворенные условиями или оплатой труда, нередко уходят из компаний для того, чтобы начать собственный бизнес. При этом они “прихватывают” с собой различную информацию, являющуюся собственностью владельцев покидаемой фирмы, включая технологию, список потребителей и т.д. Иными словами, все, что имело какую-либо интеллектуальную ценность, покидало ворота предприятия в дипломатах, нанося при этом многомиллионные убытки.[50]
10. Низким уровнем специальной подготовки должностных лиц правоохранительных органов, в том числе и органов внутренних дел, которые должны предупреждать, раскрывать и расследовать неправомерный доступ к компьютерной информации. В Академии ФБР (США) с 1976 г. читается специальный трехнедельный курс “Техника расследования преступлений, связанных с использованием ЭВМ”.[51] В России же учебные планы высших учебных заведений МВД подобных курсов не содержат.
11. Отсутствием скоординированности в работе государственных и общественных структур в сфере обеспечения информационной безопасности. Деятельность последних охватывает лишь отдельные стороны названной проблемы. Помимо правоохранительных органов (МВД, ФСБ, ФСНП и прокуратуры) вопросами информационной безопасности занимаются Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Федеральное агентство правительственной связи и информации при Президенте РФ, Государственная техническая комиссия при Президенте РФ, министерство связи РФ, Международная академия информатизации.
12. Ограничением на импорт в Россию защищенных от электронного шпионажа компьютеров и сетевого оборудования.[52] Чувствительная радиоэлектронная аппаратура позволяет уловить побочные электромагнитные излучения, идущие от незащищенной компьютерной техники, и полностью восстановить обрабатываемую компьютерную информацию. Кроме того, незащищенная аппаратура создает низкочастотные магнитные и электрические поля, интенсивность которых убывает с расстоянием, но способна вызвать наводки в близко расположенных проводах (охранной или противопожарной сигнализации, телефонной линии, электросети, трубах отопления и пр.). Чтобы перехватить низкочастотные колебания незащищенной компьютерной техники, приемную аппаратуру подключают непосредственно к вышеперечисленным коммуникациям за пределами охраняемой территории.
В этих условиях заметно повышается степень риска потери данных, а также возможность их копирования, модификации, блокирования. Причем это не чисто российская, а общемировая тенденция. Не исключено, что в скором времени проблема информационной безопасности и защиты данных станет в один ряд с такими глобальными проблемами современности, как экологический кризис, организованная преступность, отсталость развивающихся стран и др. Согласно опросу, проведенному в США среди менеджеров информационных систем и ответственных за защиту информации[53], на вопрос, как изменилась степень риска потери данных за последние 5 лет, 85% респондентов ответили, что она повысилась, 9% ответили, что она снизилась, 6% затруднились ответить. Безопасность работы в сети Internet 40% респондентов оценили как неудовлетворительную, 28% — как удовлетворительную, и затруднились ответить 32% опрошеных. На вопрос, насколько высока угроза компьютерных вирусов, 67% опрошенных заявили, что они пострадали от них в 1996 г., оставшиеся 33%— не пострадали.
Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения, а в идеале — полного недопущения возможности неправомерного доступа к компьютерной информации, хранящейся на машинных носителях; атакже к устройствам ввода данных в персональный компьютер и их получения.
Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст. 21 Федерального закона “Об информации, информатизации и защите информации” являются:
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- зашита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Для выполнения поставленных задач используются средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений (носящих конфиденциальный характер), средства, в которых они реализованы, а также средства контроля эффективности защиты информации (Ст. 2 Закона “О государственной тайне”). Понятие защиты данных включает в себя как разработку и внедрение соответствующих способов защиты, так и их постоянное использование.
О способах и средствах защиты компьютерной информации уже говорилось в гл. 1 и 2 данного научно-практического пособия.
Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек, необходимо выделить специфические организационные и программно-технические средства их защиты. Организационная защита кредитных карт должна включать, прежде всего, проверку их обеспеченности. Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение. Кроме того, необходимо:
-обеспечить секретность в отношении предельных сумм, свыше которых производится проверка обеспеченности карты;
-регистрировать все операции с карточками;
ужесточить условия выдачи банками кредитных карт.
Программно-техническая защита электронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков, которые не могут быть скопированы, а также узора из полос, нанесенного магнитными чернилами и запрессованного в материал карточки; использовании радиоактивных изотопов; использовании современных материалов; отказе от видимой на карточке подписи ее владельца.
В соответствии со ст. 21 Закона “Об информации, информатизации и защите информации” контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств зашиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль проводится в порядке, определяемом Правительством Российской Федерации. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
Субъектами, осуществляющими профилактику неправомерного доступа к компьютерной информации, являются:
1. Правоохранительные органы, поскольку профилактическая деятельность составляет обязательную составнуючасть правоохранительной деятельности. К ним относятся:
суд, прокуратура, органы внутренних дел, налоговой полиции, федеральной службы безопасности.
2. Органы межведомственного контроля: Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Государственная техническая комиссия при Президенте РФ.
3. Отраслевые органы управления: Федеральное агентство правительственной связи и информации при Президенте РФ, министерство связи РФ.