Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Преступления в сфере компьютерной информации.

Преступления в сфере компьютерной информации (“компьютерные преступления”) известны сравнительно недавно. Отечественная практика расследования такого рода преступлений пока невелика, поскольку, как уже указывалось выше, только в последние годы в результате развития программно-технических средств и повышения “компьютерной грамотности”, обеспечивающих возможность взаимодействия с машинными ресурсами широкого круга пользователей, информационные системы внедрены в бухгалтерский учет, планирование и пр.

“Распространенность компьютерных преступлений, конечно же, связана с компьютеризацией всего общества, и здесь страны Запада безусловно лидируют. За рубежом компьютерная преступность имеет широкое распространение.”¹

Компьютерные преступления впервые попали в сферу социального контроля в начале 70-х годов, когда в США было выявлено значительное количество подобных деяний, совершенных в 50—70-е годы. Этот факт привлек к сфере компьютерной информации пристальное внимание органов уголовной юстиции и ученых-криминологов. Начались интенсивные исследования этого феномена на национальном и международном уровнях, стали формулироваться специализированные нормы о компьютерных преступлениях в уголовных законодательствах.

В Уголовном Кодексе различаются криминологические группы компьютерных преступлений:

- экономические компьютерные преступления,

- компьютерные преступления против личных прав и неприкосновенности частной сферы,

- компьютерные преступления против общественных и государственных интересов.

Наиболее опасные и распространенные — экономические компьютерные преступления — включают компьютерное мошенничество (неправомерное обогащение за чужой счет путем злоупотребления с автоматизированными информационными системами), компьютерный экономический шпионаж и кражу программ, компьютерный саботаж, кражу услуг и «компьютерного времени», самовольное проникновение в автоматизированную информационную систему, традиционные экономические преступления, совершаемые с помощью компьютеров.

Экономические компьютерные преступления совершаются чаще всего по корыстным мотивам служащими организации, в которой используется компьютер, но могут совершаться и другими лицами, например, в случае злоупотребления с открытыми компьютерными системами (банковский автомат и др.) или неправомерного доступа к системе.

Компьютерные мошенничества (злоупотребления с банковскими счетами на компьютерных носителях, получение незаконных выплат в виде зарплаты, социальных пособий, гонораров и т.п.) кража программ ("компьютерное пиратство"), неправомерное получение услуг от компьютерной системы (кража компьютерного времени) широко распространены в современных европейских обществах и составляют значительную часть компьютерной преступности".

Компьютерные преступления против личных прав и неприкосновенности частной сферы чаще всего заключаются во введении в компьютерную систему неправильных и некорректных данных о лице, незаконном собирании правильных данных (незаконными способами либо с целью, например, неправомерного контроля профсоюзных активистов), иных незаконных злоупотреблениях информации на компьютерных носителях и неправомерном разглашении информации (например, банковской или врачебной тайны), торговля банками информации о своих клиентах, полученной путем изучения расходов, сделанных при помощи кредитной карточки).

Компьютерные преступления против интересов государства и общества включают преступления против государственной и общественной безопасности, нарушение правил передачи информации за границу, дезорганизацию работы оборонных систем, злоупотребления с автоматизированными системами подсчета голосов на выборах и при принятии парламентских решений и др.

Первоначально, столкнувшись с компьютерной преступностью, органы уголовной юстиции начали борьбу с ней при помощи традиционных правовых норм о краже, присвоении, мошенничестве, злоупотреблении доверием и др. Однако такой подход оказался не вполне удачным, поскольку многие компьютерные преступления не охватываются составами традиционных преступлений. Так, например, простейший вид компьютерного мошенничества - перемещение денег с одного счета на другой путем "обмана компьютера" - не охватывается ни составом кражи (ввиду отсутствия предмета кражи - материального имущества, т. н. "деньги" существуют тут не в виде вещей, но в виде информации на компьютерном носителе), ни составом мошенничества, поскольку обмануть компьютер в действительности можно лишь в том смысле, в каком можно обмануть и замок у сейфа. Не будет и признаков уничтожения или повреждения имущества в случае, например, уничтожения информационного элемента компьютерной системы без повреждения ее элемента материального (ЭВМ), хотя подобные действия могут причинить очень значительный имущественный ущерб. Несоответствие криминологической реальности и уголовно-правовых норм потребовали развития последних.

Развитие это происходит в двух направлениях:

1) более широкое толкование традиционных норм;

2) разработка специализированных норм о компьютерных преступлениях.

Первое направление имеет свои естественные границы - предельная допустимость размывания признаков традиционных составов. Большинство европейских стран встало на второй путь - путь разработки специализированных норм о компьютерных преступлениях.

Первым опытом отечественного уголовного законодательства о компьютерных преступлениях является гл. 28 нового УК. РФ "Преступления в сфере компьютерной информации", где предусмотрена ответственность:

1) за неправомерный доступ к компьютерной информации (ст. 272 УК РФ);

2) за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ) и

3) за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).

В настоящей работе нормы эти толкуются в соответствии с буквой закона, однако следует помнить, что буквальное толкование не является единственным видом толкования уголовного закона.

Объект компьютерных преступлений достаточно сложен. В обществе существуют определенные ценностные отношения по поводу использования автоматизированных систем обработки данных. Содержанием этих отношений являются права и интересы лиц, общества и государства относительно компьютерных систем, которые понимаются в качестве подлежащего правовой охране блага. Компьютерные преступления посягают на эти права и интересы, которые и являются видовым (групповым) объектом преступлений в сфере компьютерной информации.

Таким образом, видовым (групповым) объектом преступлений в сфере компьютерной информации являются права и интересы физических и юридических лиц, общества и государства по поводу использования автоматизированных систем обработки данных.

Непосредственными объектами отдельных преступлений в сфере компьютерной информации являются конкретные права и интересы по поводу использования таких систем (право владельца системы на неприкосновенность информации, содержащейся в системе, интерес относительно правильной эксплуатации системы).

Компьютерные преступления, посягая на основной объект, всегда посягают и на дополнительный объект, поскольку поражают блага более конкретного свойства: личные права и неприкосновенность частной сферы, имущественные права и интересы, общественную и государственную безопасность и конституционный строй. Эти подлежащие правовой охране интересы личности, общества и государства являются дополнительным объектом компьютерных преступлений. Отсутствие посягательства на эти общественные отношения (либо незначительность такого посягательства) исключает уголовную ответственность в силу ч. 2 ст. 14 УК РФ. Так, например, кратковременное использование без разрешения чужого игрового компьютера является неправомерным доступом к компьютерной информации и, несомненно, в полной мере поражает основной объект преступления, но не поражает дополнительного объекта, т.е. не содержит необходимого признака состава преступления. Дополнительный объект, как правило, более ценный, чем объект основной. Это отражено и в названии гл. 28 УК РФ, которое говорит не о посягательстве на объект, а о посягательствах в определенной "сфере". Предметом компьютерных преступлений является автоматизированная система обработки данных, которая включает как телесный элемент (ЭВМ и сетевое оборудование), так и элемент не телесный (программы и иная информация).

Объективная сторона компьютерных преступлений характеризуется как действием, так и бездействием. Действие (бездействие) сопряжено с нарушением прав и интересов по поводу пользования компьютерными системами и сетями и, кроме того, совершается во вред иным, более конкретным частным, общественным или государственным благам (личным правам и неприкосновенности частной сферы, имущественным правам и интересам, общественной и государственной безопасности и конституционному строю).

Компьютерные преступления имеют материальные составы. Действие (бездействие) должно причинить значительный вред правам и интересам личности, общества или государства (исключением является преступление с формальным составом, предусмотренное ч. 1 ст. 273 УК РФ: создание, использование и распространение вредоносных программ для ЭВМ). Преступные последствия конкретизируются в законе применительно к конкретным видам компьютерных преступлений. Между деянием и последствием должна быть установлена причинная связь.

Субъективная сторона компьютерных преступлений в соответствии с буквой закона характеризуется умышленной виной. В ч. 2 ст. 24 УК РФ указано, что деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК. Неосторожная форма вины названа в Особенной части лишь применительно к квалифицированным видам компьютерных преступлений, предусмотренным в ч. 2 ст. 273 УК РФ

Субъект компьютерного преступления общий - лицо, достигшее 16 лет. В ст. 274 УК РФ и в ч. 2 ст. 272 УК РФ формулируются признаки специального субъекта: лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети.

Преступление в сфере компьютерной информации (компьютерное преступление) - это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства (личным правам и неприкосновенности частной сферы, имущественным правам и интересам, общественной и государственной безопасности и конституционному строю).

19. Лицензирование в области защиты информации: нормативно-правовая база и вопросы практической реализации.

В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Важно другое -на наш взгляд, можно констатировать, что уже имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

В последнее время в различных публикациях муссируется вопрос о том, что созданный механизм государственного регулирования в области защиты информации используется государственными органами, уполномоченными на ведение лицензионной деятельности, для зажима конкуренции и не соответствует ни мировому опыту, ни законодательству страны. В этой связи, во-первых, хотели бы отметить, что по состоянию на декабрь месяц 1996 года Федеральным агентством правительственной связи и информации при Президенте Российской Федерации оформлена 71 лицензия на деятельность в области защиты информации. Официально в выдаче лицензии отказано только одной фирме. Еще одному предприятию, кстати, государственному отказано в продлении лицензии за нарушения условий ее действия. Среди лицензиатов - предприятия различных форм собственности и ведомственной принадлежности, включая такие частные фирмы, как: "Авиателеком", "Аргонавт", "Анкей", "КомФАКС", "Инфотекс" и другие. Полный список лицензий, выданных ФАПСИ публикуется в печати, в том числе и в изданиях фирмы "Гротек".

Кроме того, чтобы остудить бушующие вокруг данной проблемы страсти, считаем полезным подробнее ознакомить читателей с имеющимся опытом зарубежного законодательства и требованиями российских нормативных актов в области защиты информации, в первую очередь, криптографическими методами.

Лицензирование и сертификация относятся к таким предметным областям, где отсутствуют необходимый набор формальных правил и критериев регулирования и оценки протекающих процессов и происходящих явлений. Рассмотрение и анализ в таких случаях осуществляют на качественном уровне. В качестве критерия используется смысловое содержание понятий, а выводы во многом определяются правильностью понимания этих терминов и однозначностью их трактовки.

В этой связи необходимо отметить, что на данный момент времени в рассматриваемой нами области отсутствует единый, принятый во всей стране, понятийный аппарат (т.е. четкая система взаимоувязанных терминов и понятий). Многие понятия и термины, вводимые принимаемыми законами и иными нормативными актами, используемые различными органами, работающими в сфере защиты информации, или отдельными авторами, публикующими материалы по данной тематике, носят неоднозначный, противоречивый характер. В одни и те же термины часто вкладывается различное смысловое содержание. Манипулирование, а в отдельных случаях прямое спекулирование терминами и понятиями происходит зачастую из конъюнктурных соображений. Можно привести множество примеров, иллюстрирующих сказанное, однако авторы не ставят себе такой задачи. Наша цель заключается довести до широкого круга специалистов суть и определение понятий в данной области так, как это отражено в нормативных актах ФАПСИ или официально трактуется Федеральным агентством (в случае наличия четких и ясных формулировок).

Сложность положения с определением понятийного аппарата усугублялась тем обстоятельством, что многие основополагающие понятия и термины, используемые в сфере защиты информации, носили до последнего времени закрытый характер и пока не введены или не определены на общегосударственном уровне в открытом виде. Это относится и к таким, например, понятиям, как " шифрование", "защищенные технические средства ". Не имеют общепринятого определения, например, и такой основополагающий термин как " вид деятельности ".

Приводимые ниже определения основных понятий может быть, не лишены известных недостатков, но сложились таковыми в результате многолетней практической деятельности подразделений Федерального агентства как собственно в сфере защиты информации, так и в области определения качества соответствующих товаров и услуг. Вообще говоря, вопросы лицензирования деятельности в области защиты информации и сертификации качества соответствующих товаров и услуг не являются совсем новыми для Федерального агентства. Компетентные подразделения ФАПСИ фактически всегда осуществляли лицензирование деятельности и сертификацию средств защиты информации, составляющей государственную тайну, правда, в несколько иной форме. Эта работа проводилась путем категорирования и строгого отбора разработчиков и производителей средств защиты информации, а также путем экспертизы результатов их работы и выдачи заключений на основании утверждаемых правительством специальных Положений. Однако термины лицензирование и сертификация при этом не использовались и не упоминались.

Учитывая, что предметом данной работы являются не просто лицензирование и сертификация сами по себе, а лицензирование и сертификация в области защиты информации, начнем с определения ряда основных понятий данной сферы деятельности.

Переходя теперь к определению таких понятий как " лицензирование " и " сертификация " в области защиты информации, отметим, что зачастую эти термины просто путают (не говоря уже об их ошибочном понимании или трактовке). Путают и объекты, к которым они относятся, и, как следствие, нормы, относящиеся к одному понятию, приписываются другому.

Лицензирование - это процесс, осуществляемый в отношении таких категорий, как " деятельность " (направления, виды деятельности) и " субъект " (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, состав, виды и статус которых также предписываются нормативными актами. При за органом, уполномоченном на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата. Здесь термины "деятельность", "право", "правило", "мероприятие", "статус" имеют общепризнанный смысл, и их определения можно почерпнуть в любом толковом словаре. Важно подчеркнуть, и это вытекает из описанной нами формулы, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий (передающий) кого-либо правом деятельности, и субъект, получающий указанное право. Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый (иначе процесс лицензирования вообще теряет смысл), а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и являющимися их неотъемлемой частью требованиями к предприятию-заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим критериям. В данной области мы оперируем следующими основными терминами (здесь и далее приводятся термины, определенные в соответствии с приведенными выше Положеними о лицензировании).

Лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации, и осуществлении контроля за лицензиатом.