Преступления в сфере компьютерной информации (работа 12)
МНЭПУ |
МЕЖДУНАРОДНЫЙ НЕЗАВИСИМЫЙ ЭКОЛОГО-ПОЛИТОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ |
Д И П Л О М Н А Я Р А Б О Т А
на тему: Преступления в сфере компьютерной информации
В ы п о л н и л : студент 5 курса Юридического факультета
Героев Магомед Маулиевич
Н а у ч н ы й р у к о в о д и т е л ь :
Тер-Акопов Аркадий Авакович
Москва — 1999 г.
Содержание стр.
1. Введение -------------------------------------------------------- 2
2. Информация и информационная безопасность
как предмет уголовно-правовой защиты ------------------ 6
3. Общая характеристика преступлений в сфере
компьютерной информации -------------------------------- 23
4. Неправомерный доступ
к компьютерной информации ------------------------------ 34
5. Юридический анализ иных преступлений в сфере
компьютерной информации -------------------------------- 69
6. Причины и предупреждение
компьютерных преступлений ------------------------------ 98
7. Заключение ------------------------------------------------ 114
8. Список литературы -------------------------------------- 119
§ 1. Введение.
Борьба с информационными правонарушениями рассматривается правоохранительными органами как актуальнейшая задача. Важная роль в ее решении принадлежит уголовному законодательству.
Как указано в Концепции правовой информатизации России, утвержденной Указом Президента Российской Федерации от 28 июня 1993 г.:
“Удобное распределение и использование информации для удовлетворения социальных потребностей является едва ли не главнейшим достоинством в окружающем нас мире, и, как следствие, в результате совершенствования информационных коммуникаций внутри и между различными социальными группами общество может развиваться более динамично.”
Развитие телекоммуникаций, широкое внедрение новых компьютерных технологий явились определяющими факторами бурного роста систем автоматизации технологических процессов, различных сфер деятельности предприятий.
Сегодня трудно назвать сферу деятельности, где человек может обойтись без компьютера. Развитие предприятий, их численный рост, активность на рынках неминуемо приводит к увеличению числа сотрудников, непосредственно участвующих в работе с автоматизированными системами обработки информации (АСОИ) и технологических процессов, взаимодействию этих систем с другими АСОИ и, как следствие, возникновению факторов, оказывающих дестабилизирующее влияние на их работу.
“Наступление XXI века проходит под знаком все усиливающейся экспансии информационной технологии в самые различные области человеческой деятельности, включая экономику, промышленность, управление, образование и культуру. Сами понятия информация, информационные процессы, информационные системы все шире используются в науке и практике. Сегодня мало кто сомневается в определяющей роли информации в теории искусственного интеллекта, в науке об ЭВМ, теории связи и коммуникации, в теории управления. А такие производные понятия как “эра информации”, “глобальная информационная революция”, “информационное общество”, “информационный взрыв”, “информационный кризис” все чаще встречаются не только в научно-технической литературе, но и в средствах массовой информации.
Все это свидетельствует о том, что наступила новая эра, где объективным началом и основанием стало не вещество или энергия, а ИНФОРМАЦИЯ. На смену материальному (физическому) миру его законами и системой ценностей пришел более сущностный мир: - Информационный.”1
Вместе с тем увеличивающееся число компьютерных преступлений, в конечном счете, привело к необходимости защиты информации.
Сообщения об информационных преступлениях отрывочны. Пожалуй никто в мире не имеет полной картины информационной преступности. Но и те факты, которые известны производят сильное впечатление.
Значительные и вместе с тем ни кем не определяемые потери возникают в результате распространения вредоносных программ.
Так, в 1987 году, так называемый «Пакистаннский вирус заразил только в США более 18 тыс. компьютеров.1
На Российском рынке программного обеспечения ежегодно фиксируется появление от 2 до 10 новых вирусов.2.
Проблемы, которые рассматриваются в данной работе довольно спецефичны. Появление в новом Уголовном Кодексе Российской Федерации раздела о преступлениях в сфере компьютерной информации ставит перед юристами задачу раскрытия и расследования этого вида преступлений. Однако проблема современного этапа, вероятно заключается в уровне специальной подготовке должностных лиц правоохранительных органов, которым предстоит проводить в жизнь требования новых законов… Предоставляя кримналистические рекомендации в области информационных правоотношений, следует учитывать разнородность состав и образовательный уровень нашего следственно-судебного состава. Многие сотрудники органов следствия и дознания до сих пор не только не используют технические средства и информационные технологии в своей деятельности но и недостаточно осведомлены о них.
Отмеченные выше обстоятельства и обусловили выбор темы данной работы.
Целью данной работы является анализ преступлений уголовно-правового характера связанных с информационной безопасностью человека. Информационной безопасностью в компьютерных сетях и программах ЭВМ.
В работе рассматриваются преступления, связанные с противоправным применением компьютерной техники, либо направленные на кражу, изменение или уничтожение информации в компьютерных системах.
Данная работа не претендует на подробное изложение всех характеристик преступлений.
Теоретической основой данной работы явились труды таких отечественных ученых-правоведов, специалистов в области уголовного права, криминологии, криминалистики, и информатики как: Борзенков Г.Н., Минаев В.А., Наумов А.В., Курушкин В.Д., Полевой Н.С.
§ 2. Информация и информационная безопасность как предмет уголовно-правовой защиты.
“Еще задолго до вступления человечества в эпоху рыночной экономики люди пытались скрывать от друг друга те или иные отношения и действия, руководствуясь самыми разнообразными мотивами — от морально-этических до сугубо материальных, что в конечном итоге получило отражение и в законодательстве большинства стран”.1
"Вплоть до середины XX века термин "информация" и в обиходе, и в научной литературе обычно употреблялся в смысле сообщения, осведомления кого-либо о чем-либо или, что близко к этому, в смысле сведений, передаваемых одними людьми другим людям. С развитием технических средств передачи, восприятия и в особенности анализа различного рода сведений, а также с зарождением информатики и кибернетики — наук, внесших весомый вклад в реализацию проблемы обмена сведениями не только между людьми, но и между человеком и машиной (в частности, ЭВМ), — понятие "информация" стало объектом специального и разностороннего исследования".2 Отсутствие нормативно закрепленных понятий в сфере отношений, связанных с информацией, приводило к широкому разбросу трактовки самых распространенных терминов и определений.
Для единообразного понимания в ст. 2 Федерального закона Российской Федерации “Об информации, информатизации и защите информации” (принят Государственной Думой Российской Федерации 25 января 1995 года) было определено, что “информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления”.
Следует отметить, что "В современном мире информация уже давно приобрела товарный характер и выступает в качестве особого объекта договорных отношений, связанных с ее сбором, хранением, поиском, переработкой, распространением и использованием в различных сферах человеческой деятельности".1
Существует довольно много критериев классификации информации.
В 1991 году была предложена следующая классификация коммерческой информации, которую можно “условно разделить на два укрупненных блока:
— научно-техническая, технологическая информация;
— деловая информация.
Каждый из них имеет свои разновидности.
Научно-техническая, технологическая информация включает:
— сведения о конструкции машин и оборудования (в том числе схемы и чертежи отдельных узлов, изделий), используемых материалах, их составах (химических и т.п.), методах и способах производства, дизайне и другие сведения о вновь разрабатываемых или производимых изделиях, технологиях, о путях и направлениях модернизации известных технологий, процессов и оборудования;
— программное обеспечение для ЭВМ и др.
Деловая информация включает:
— сведения о финансовой стороне деятельности предприятия (финансовая отчетность, состояние расчетов с клиентами, задолженность, кредиты, платежеспособность), о размере прибыли, себестоимости производимой продукции и др.;
— стратегические и тактические планы развития производства, в том числе с применением новых технологий, изобретений, ноу-хау и т.п.;
— планы и объемы реализации произведений продукции (планы маркетинга, данные о характере и объемах торговых операций, уровнях предельных цен, наличии товаров на складах и т.п.);
— анализ конкурентоспособности производимой продукции, эффективности экспорта и импорта, предполагаемое время выхода на рынок;
— планы рекламной деятельности;
— списки торговых и других клиентов, представителей, посредников, конкурентов; сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих контрактов и др.)”.1 Действующее законодательство Российской Федерации позволяет дать еще одну градацию информации (по критерию доступа):
1. открытая (общедоступная);
2. с ограниченным доступом:
а) информация, отнесенная к государственной тайне,
б) конфиденциальная информация.
Как видно, существует несколько категорий информации.
Закон Российской Федерации от 21 июля 1993 года “О государственной тайне” в ст. 2 определяет, что “государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации”.
В ст. 5 Закона Российской Федерации “О государственной тайне” дан перечень сведений, которые могут быть отнесены к государственной тайне (сведения в военной области, сведения в области экономики, науки и техники, сведения в области внешней политики и экономики, сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности).
В ст. 7 Закона Российской Федерации “О государственной тайне” дается перечень сведений, не подлежащие засекречиванию.
Федеральный закон Российской Федерации “Об информации, информатизации и защите информации” в п. 3 ст. 10 также предусматривает ряд сведений, которые запрещено относить к информации с ограниченным доступом.
Что же касается конфиденциальной информации, то действующее гражданское законодательство Российской Федерации в п. 1 ст. 139 Гражданского кодекса Российской Федерации определяет: "Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами".
Е.А. Богатых представила схематически составляющее понятие “информация”:
ИНФОРМАЦИЯ |
Знания:1) Неизвестные третьим лицам 2) Недоступные неопределенному кругу лиц 3) Составляющие имущественную ценность |
-
Секреты производства (know-how)
-
Коммерческие секреты (объем продаж, клиенты, стоимость продукции)
-
Организационные (структура подразделения, порядок ведения операций и др.)
1
Профессор Т.К. Серегина дает свое определение коммерческой тайне, а именно:
"Коммерческая тайна — преднамеренно скрываемые по коммерческим соображениям экономические интересы и сведения о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности фирмы, охрана которых обусловлена интересами конкуренции и возможными угрозами экономической безопасности фирмы. Коммерческая тайна возникает тогда, когда она представляет интерес для коммерции". 1
В законодательстве России понятие "коммерческая тайна" впервые появилась в тексте Закона РСФСР "О предприятиях и предпринимательской деятельности".
Постановлением Правительства РСФСР от 5 декабря 1991 года № 35 был определен специальный перечень сведений, которые не могут составлять коммерческую тайну.
Данное постановление было принято в целях обеспечения деятельности государственной налоговой службы, правоохранительных и контролирующих органов, а также предупреждения злоупотреблений в процессе приватизации.
К сведениям, которые не могут составлять коммерческую тайну были отнесены:
учредительные документы;
документы, дающие право заниматься предпринимательской деятельностью;
сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РСФСР;
документы о платежеспособности;
сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
документы об уплате налогов и обязательных платежах;
сведения о загрязнении окружающей среды, нарушения антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;
сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Кроме того, государственным и муниципальным предприятиям до и в процессе их приватизации было запрещено относить к коммерческой тайне данные:
о размерах имущества предприятия и его денежных средствах;
о вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
о кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РСФСР и заключенных им договоров;
о договорах с кооперативным и, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.
Особо следует отметить, что секретность в условиях нарождающейся рыночной экономики призвана защищать производителя от недобросовестной конкуренции, к которой можно отнести различные противоправные действия в виде подделки продукции конкурента, подкупа, шантажа и т.п.
Особое место занимает промышленный шпионаж.
Промышленный шпионаж очень сложная проблема — “явление совершенно неотъемлемое от самого человеческого развития. Одним из древнейших проявлений подобной деятельности действительно можно считать похищение Прометеем огня у древнегреческих богов.
Это, конечно же, шутка. Но из разряда тех, в которых есть доля правды”.1 В современных условиях развития Российской Федерации, которые можно охарактеризовать политическими и экономическими преобразованиями общества, появлением разнообразных форм собственности, многие люди открыли предпринимательство для себя как образ жизни, как форму существования.
Естественно, что коммерсант рано или поздно, но неизбежно, приходит к выводу о необходимости обеспечения защиты своих прав и интересов.
Как известно, в современных условиях информация играет решающую роль как в процессе экономического развития, так и в ходе конкурентной борьбы на внутреннем (национальном) и внешнем (международном) рынке.
Влияние передовых научных достижений охватывает весь мир, и игнорировать эту реальность было бы непростительно. Своеобразной ареной борьбы стало соперничество за превосходство на рынке, на важнейших направлениях научно-технического прогресса ("наука — двигатель торговли!").
Неоднократно обращал внимание факт того, что ранее (при существовании Союза ССР) не существовало частного промышленного шпионажа: “Правительство США не предприняло никаких шагов, чтобы помочь частному сектору в деле борьбы с промышленным шпионажем. (В Советском Союзе и его сателлитах промышленный шпионаж и контрразведку осуществляет государство в целях повышения мощи страны). Конечно, промышленность в этих странах принадлежит государству, так что эти виды деятельности служат экономическим придатком политической и военной разведок”.1
На такое состояние обращал внимание также Александр Остапенко — “После прихода к власти коммунистов в 1917 году промышленный шпионаж надолго принял совершенно другие формы и находился под строгим контролем государственных структур”.1
Так значит верен общий вывод Анатолия Крутогорова о том, что “Провести демаркационную линию между военным, политическим и промышленным шпионажем очень тяжело да и практически невозможно.” 2
В сложившихся условиях становится реальностью и промышленный шпионаж как сфера тайной деятельности по добыванию, сбору, анализу, хранению и использованию конфиденциальной информации, охватывающей все сферы рыночной экономики.
"Размеры промышленного шпионажа выросли до небывалого уровня. Многие администраторы компаний считают не только этичным, но необходимым кражу секретов, чтобы преуспеть в бизнесе. Большинство руководителей корпораций считает, что им нужны более систематические методы сбора, обработки, анализа и записи информации о конкурентах".3
Промышленный шпионаж применяет преимущественно противозаконные способы в своей деятельности.
Как отмечает А.А. Шиверский: “Промышленный шпионаж использует тайные силы, средства и методы, в том числе применяемые специалистами для добывания секретной информации военно-политического, дипломатического и иного характера: засылка к конкурентам (или вербовка) агентов, похищение документов, чертежей, образцов новых изделий, использование оптических средств наблюдения и съемок, систем подслушивания, прослушивания телефонных переговоров, несанкционированное подключение к вычислительным сетям и системам связи, шантаж, подкуп и даже ликвидация конкурентов или их предприятий и др. В этом ряду стоит и скупка краденных промышленных секретов у профессиональных промышленных шпионов. В таком деле в тайне держится все — от замыслов до полученных результатов”.1 Как видно, довольно остро встает вопрос о защите информации.
П. 2 ст. 139 Гражданского кодекса Российской Федерации определено, что “информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами”.
В ст. 20 Федерального закона Российской Федерации “Об информации, информатизации и защите информации” определяются цели защиты, среди которых:
предотвращение утечки, хищения, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копирования, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Под защитой имеется в виду любое законное активное или пассивное действие, направленное на достижение определенного состояния (уровня) безопасности объекта.
Анализируя зарубежный и отечественный опыт по созданию юридического механизма защиты коммерческой тайны, профессор Т.К. Серегина предлагает выделить следующие основные блоки, из которых он состоит:
— нормы права, направленные на защиту интересов ее владельцев;
— нормы, устанавливаемые руководством предприятия, фирмы и т.п. (приказы, распоряжения, инструкции);
— специальные структурные подразделения, обеспечивающие соблюдение этих норм (подразделения режима, службы безопасности и т.п.)”.1
В п. 1 ст. 21 Федерального закона Российской Федерации “Об информации, информатизации и защите информации” указывается, что режим защиты информации устанавливается в отношении конфиденциальной документированной информации — собственником информационных ресурсов.”
Следует отметить, что действующее законодательство Российской Федерации предоставляет право собственнику документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом Российской Федерации “Об информации, информатизации и защите информации” устанавливать порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивать условия доступа пользователей к информации.
Прав Д.В. Павлов, отмечавший, что “поставленная жизнью проблема охраны коммерческой тайны — это лишь часть общей проблемы защиты интеллектуальной собственности... ”.1
Проблема информационной безопасности стала предметом пристального общественного внимания. Предпринимаются попытки установить объем и пределы социального контроля над информационной сферой жизни человека, общества и государства, ввести правовое регулирование оборота информации.
Информация должна рассматриваться как основополагающее средство обеспечения жизнедеятельности человека, находящееся в одном ряду с такими видами безопасности как юридическая, потребительская, медицинская и т.д. Термин «информационная безопасность» имеет право на существование, но при понимании того, что имеется в виду безопасность информационная обеспечения жизненно важных интересов человека.1
Что же такое «информационная безопасность».
«Информационная безопасность - это безопасность человека практически во всех сферах жизнедеятельности…
Под информационной безопасностью следует понимать состояние защищенности информации, обеспечивающей жизненно важные интересы человека (витальные, физические, психологические, генетические, репродуктивные, интеллектуальные и духовные)».2
Но информационная безопасность не может быть сведена только к защите информации но включает также защиту от определенной информации и доступ к необходимой информации.
В справочнике «Компьютерные преступления и информационная безопасность» информационная безопасность определена как: «Состояние защищенности информационной среды общества, обеспечивающее её формирование и развитие в интересах граждан, организаций и государства».3
Конституция РФ установила право каждого гражданина «свободно искать, получать, передавать, производить информацию любым законным способом» (ст. 29, п. 4), гарантирована «свобода массовой информации», запрещена цензура (ст. 29, п. 5). Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Идея информационной безопасности человека заложена и в таких конституционных нормах, как право на «личную и семейную тайну», «тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений» (ст. 23), запрет сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, обязанность органов государственной власти, органов местного самоуправления, их должностных лиц «обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом» (ст. 24).
Основные конституционные запреты на установленный порядок оборота информации защищены уголовным законодательством в виде системы уголовно-правовых норм, предусматривающих ответственность за посягательство на информационную безопасность (например, за компьютерные преступления - ст. 272-274, разглашение государственной тайны - ст. 283 и иные).
Общие правоустановления и отдельные специальные вопросы информационной безопасности изложены в ряде федеральных законов: «О безопасности», «О государственной тайне», «О средствах массовой информации», «Об информации информатизации и защите информации» (принят Государственной Думой Российской Федерации 25 января 1995 года), «Об участии в международном информационном обмене» и других.
Тем не менее, принятых правовых решений оказалось недостаточно для регулирования всей сферы информационных отношений, которая чрезвычайно объемна и разнообразна. Объем циркулирующей информации находится в прямой зависимости от развития общественной жизни: экономики, политики, права, управления, науки, техники, культуры, демографии и т.д.
Проблема информационной безопасности является частью комплекса вопросов обеспечения информационной безопасности.
В ч. 4, ст. 29 Конституции РФ принятой 12 декабря 1993 года сказано: - Каждый имеет право искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений составляющих государственную тайну, определяется федеральным законом.1
Однако и в Конституции РФ и в УК РФ предусмотрены уголовно наказуемые деяния, связанные с посягательством на информацию.
Например: преступления против личности, коммерческая тайна, государственная тайна, профессиональная тайна, заведомо ложная реклама и т.д. (см. § 4)
Итак, преступления связанные с информацией это не только компьютерные преступления, которые в данной теме занимают своеобразное место.
§ 3. Общая характеристика преступлений в сфере компьютерной информации.
Сегодня нормы, регламентирующие правовые аспекты деятельности электронно-вычислительной техники, предусматриваются в различных отраслях права.
Происходящая компьютеризация на просторах бывшего Союза ССР, в том числе и в России достигла такого уровня, когда общественные отношения в этой сфере объективно требуют надлежащего уголовно-правового регулирования, так как наряду с позитивными она порождает и негативные явления, связанные со злоупотреблениями возможностями и средствами электронно-вычислительной техники.
По свидетельству экспертов из правоохранительных органов, самым лакомым сектором российской экономики для преступников является кредитно-банковская сфера. Анализ совершенных здесь за последнее время преступных деяний с использованием компьютерных технологий, а также неоднократные опросы представителей банковских учреждений позволяют выделить следующие наиболее типичные способы совершения компьютерных преступлений против банков и других финансовых учреждений.
Во-первых, все более распространенными становятся компьютерные преступления, совершаемые путем несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей. В истекшем году правоохранительными органами были выявлены 15 подобных преступлений, в ходе расследования которых установлены факты незаконного перевода 6,3 млрд. рублей.
Во-вторых, за последнее время не отмечено практически ни одного компьютерного преступления, которое было бы совершено одиночкой. Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову вычислительной техники, с тем, чтобы они осуществляли хищение крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.
В-третьих, большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков. Результаты исследований, проведенных с привлечением банковского персонала, показывают, что доля таких преступлений приближается к отметке 70%. Например, в 1998 г. работники правоохранительных органов предотвратили хищение на сумму в 2 млрд. рублей из филиала одного крупного коммерческого банка. Преступники оформили проводку фиктивного платежа с помощью удаленного доступа к банковскому компьютеру через модем, введя пароль и идентификационные данные, которые им передали сообщники из состава персонала этого филиала. Далее похищенные деньги были переведены в соседний банк, где преступники попытались снять их со счета, оформив поддельное платежное поручение.
В-четвертых, все большее число компьютерных преступлений совершается в России с использованием возможностей, которые предоставляет своим пользователям глобальная компьютерная сеть Internet.
Таким образом, проблемы ответственности за преступления в сфере компьютерной информации порождены научно-техническим прогрессом, который и создал основу для возникновения отношений в области использования электронно-вычислительной техники.
Преступления в сфере компьютерной информации (“компьютерные преступления”) известны сравнительно недавно. Отечественная практика расследования такого рода преступлений пока невелика, поскольку, как уже указывалось выше, только в последние годы в результате развития программно-технических средств и повышения “компьютерной грамотности”, обеспечивающих возможность взаимодействия с машинными ресурсами широкого круга пользователей, информационные системы внедрены в бухгалтерский учет, планирование и пр.
“Распространенность компьютерных преступлений, конечно же, связана с компьютеризацией всего общества, и здесь страны Запада безусловно лидируют. За рубежом компьютерная преступность имеет широкое распространение.”1
Компьютерные преступления впервые попали в сферу социального контроля в начале 70-х годов, когда в США было выявлено значительное количество подобных деяний, совершенных в 50—70-е годы. Этот факт привлек к сфере компьютерной информации пристальное внимание органов уголовной юстиции и ученых-криминологов. Начались интенсивные исследования этого феномена на национальном и международном уровнях, стали формулироваться специализированные нормы о компьютерных преступлениях в уголовных законодательствах.
В Уголовном Кодексе различаются криминологические группы компьютерных преступлений:
- экономические компьютерные преступления,
- компьютерные преступления против личных прав и неприкосновенности частной сферы,
- компьютерные преступления против общественных и государственных интересов.
Наиболее опасные и распространенные — экономические компьютерные преступления — включают компьютерное мошенничество (неправомерное обогащение за чужой счет путем злоупотребления с автоматизированными информационными системами), компьютерный экономический шпионаж и кражу программ, компьютерный саботаж, кражу услуг и «компьютерного времени», самовольное проникновение в автоматизированную информационную систему, традиционные экономические преступления, совершаемые с помощью компьютеров.
Экономические компьютерные преступления совершаются чаще всего по корыстным мотивам служащими организации, в которой используется компьютер, но могут совершаться и другими лицами, например, в случае злоупотребления с открытыми компьютерными системами (банковский автомат и др.) или неправомерного доступа к системе.
Компьютерные мошенничества (злоупотребления с банковскими счетами на компьютерных носителях, получение незаконных выплат в виде зарплаты, социальных пособий, гонораров и т.п.) кража программ ("компьютерное пиратство"), неправомерное получение услуг от компьютерной системы (кража компьютерного времени) широко распространены в современных европейских обществах и составляют значительную часть компьютерной преступности".
Компьютерные преступления против личных прав и неприкосновенности частной сферы чаще всего заключаются во введении в компьютерную систему неправильных и некорректных данных о лице, незаконном собирании правильных данных (незаконными способами либо с целью, например, неправомерного контроля профсоюзных активистов), иных незаконных злоупотреблениях информации на компьютерных носителях и неправомерном разглашении информации (например, банковской или врачебной тайны), торговля банками информации о своих клиентах, полученной путем изучения расходов, сделанных при помощи кредитной карточки).
Компьютерные преступления против интересов государства и общества включают преступления против государственной и общественной безопасности, нарушение правил передачи информации за границу, дезорганизацию работы оборонных систем, злоупотребления с автоматизированными системами подсчета голосов на выборах и при принятии парламентских решений и др.
Первоначально, столкнувшись с компьютерной преступностью, органы уголовной юстиции начали борьбу с ней при помощи традиционных правовых норм о краже, присвоении, мошенничестве, злоупотреблении доверием и др. Однако такой подход оказался не вполне удачным, поскольку многие компьютерные преступления не охватываются составами традиционных преступлений. Так, например, простейший вид компьютерного мошенничества - перемещение денег с одного счета на другой путем "обмана компьютера" - не охватывается ни составом кражи (ввиду отсутствия предмета кражи - материального имущества, т. н. "деньги" существуют тут не в виде вещей, но в виде информации на компьютерном носителе), ни составом мошенничества, поскольку обмануть компьютер в действительности можно лишь в том смысле, в каком можно обмануть и замок у сейфа. Не будет и признаков уничтожения или повреждения имущества в случае, например, уничтожения информационного элемента компьютерной системы без повреждения ее элемента материального (ЭВМ), хотя подобные действия могут причинить очень значительный имущественный ущерб. Несоответствие криминологической реальности и уголовно-правовых норм потребовали развития последних.
Развитие это происходит в двух направлениях:
1) более широкое толкование традиционных норм;
2) разработка специализированных норм о компьютерных преступлениях.
Первое направление имеет свои естественные границы - предельная допустимость размывания признаков традиционных составов. Большинство европейских стран встало на второй путь - путь разработки специализированных норм о компьютерных преступлениях.
Первым опытом отечественного уголовного законодательства о компьютерных преступлениях является гл. 28 нового УК. РФ "Преступления в сфере компьютерной информации", где предусмотрена ответственность:
1) за неправомерный доступ к компьютерной информации (ст. 272 УК РФ);
2) за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ) и
3) за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).
В настоящей работе нормы эти толкуются в соответствии с буквой закона, однако следует помнить, что буквальное толкование не является единственным видом толкования уголовного закона.
Объект компьютерных преступлений достаточно сложен. В обществе существуют определенные ценностные отношения по поводу использования автоматизированных систем обработки данных. Содержанием этих отношений являются права и интересы лиц, общества и государства относительно компьютерных систем, которые понимаются в качестве подлежащего правовой охране блага. Компьютерные преступления посягают на эти права и интересы, которые и являются видовым (групповым) объектом преступлений в сфере компьютерной информации.
Таким образом, видовым (групповым) объектом преступлений в сфере компьютерной информации являются права и интересы физических и юридических лиц, общества и государства по поводу использования автоматизированных систем обработки данных.
Непосредственными объектами отдельных преступлений в сфере компьютерной информации являются конкретные права и интересы по поводу использования таких систем (право владельца системы на неприкосновенность информации, содержащейся в системе, интерес относительно правильной эксплуатации системы).
Компьютерные преступления, посягая на основной объект, всегда посягают и на дополнительный объект, поскольку поражают блага более конкретного свойства: личные права и неприкосновенность частной сферы, имущественные права и интересы, общественную и государственную безопасность и конституционный строй. Эти подлежащие правовой охране интересы личности, общества и государства являются дополнительным объектом компьютерных преступлений. Отсутствие посягательства на эти общественные отношения (либо незначительность такого посягательства) исключает уголовную ответственность в силу ч. 2 ст. 14 УК РФ. Так, например, кратковременное использование без разрешения чужого игрового компьютера является неправомерным доступом к компьютерной информации и, несомненно, в полной мере поражает основной объект преступления, но не поражает дополнительного объекта, т.е. не содержит необходимого признака состава преступления. Дополнительный объект, как правило, более ценный, чем объект основной. Это отражено и в названии гл. 28 УК РФ, которое говорит не о посягательстве на объект, а о посягательствах в определенной "сфере". Предметом компьютерных преступлений является автоматизированная система обработки данных, которая включает как телесный элемент (ЭВМ и сетевое оборудование), так и элемент не телесный (программы и иная информация).
Объективная сторона компьютерных преступлений характеризуется как действием, так и бездействием. Действие (бездействие) сопряжено с нарушением прав и интересов по поводу пользования компьютерными системами и сетями и, кроме того, совершается во вред иным, более конкретным частным, общественным или государственным благам (личным правам и неприкосновенности частной сферы, имущественным правам и интересам, общественной и государственной безопасности и конституционному строю).
Компьютерные преступления имеют материальные составы. Действие (бездействие) должно причинить значительный вред правам и интересам личности, общества или государства (исключением является преступление с формальным составом, предусмотренное ч. 1 ст. 273 УК РФ: создание, использование и распространение вредоносных программ для ЭВМ). Преступные последствия конкретизируются в законе применительно к конкретным видам компьютерных преступлений. Между деянием и последствием должна быть установлена причинная связь.
Субъективная сторона компьютерных преступлений в соответствии с буквой закона характеризуется умышленной виной. В ч. 2 ст. 24 УК РФ указано, что деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК. Неосторожная форма вины названа в Особенной части лишь применительно к квалифицированным видам компьютерных преступлений, предусмотренным в ч. 2 ст. 273 УК РФ и ч. 2 ст. 274 УК РФ. Эти преступления имеют две формы вины и согласно ст. 27 УК РФ в целом тоже являются умышленными.
Субъект компьютерного преступления общий - лицо, достигшее 16 лет. В ст. 274 УК РФ и в ч. 2 ст. 272 УК РФ формулируются признаки специального субъекта: лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети.
Преступление в сфере компьютерной информации (компьютерное преступление) - это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства (личным правам и неприкосновенности частной сферы, имущественным правам и интересам, общественной и государственной безопасности и конституционному строю).
Далее рассмотрим один из признаков данного состава преступления.
§ 4. Неправомерный доступ к компьютерной информации
Неправомерный доступ к компьютерной информации представляет собой одно из самых малоизученных и в то же время достаточно опасных преступлений последнего времени, приобретающее все более угрожающие масштабы. Его последствия таят реальную угрозу причинения вреда отношениям безопасности личности, общества и государства в самых различных сферах — от нарушения конституционных прав и свобод человека и гражданина до преступлений, посягающих на мир и международную безопасность.
Наметились серьезные тенденции к использованию компьютерной техники организованными преступными группами. Опасность подобных проявлений еще более возрастает, когда участники организованных преступных групп получают доступ к автоматизированным банкам данных (АБД), обслуживающим системы национальной обороны, космонавтики, атомной энергетики и транспортного управления.
К новым явлениям, порожденным возможностью практически безнаказанного совершения противоправных деяний, относятся хищения чужого имущества с использованием электронно-вычислительной техники и средств электронного платежа. Они представляют серьезную потенциальную угрозу правам и законным интересам личности, общества и государства, хота на современном этапе развития общественных отношений и не оказывают заметного влияния на состояние преступности в сфере экономики.
Широкие возможности новейших информационных технологий могут, безусловно, свидетельствовать об их использовании в качестве достаточно эффективного и в то же время весьма доступного средства для совершения иных умышленных преступлений, предметом посягательства которых является информация, содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или их сети. К числу таких преступлений уже сегодня можно смело отнести нарушение неприкосновенности частной жизни (ст. 137 УК РФ), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 УК РФ), нарушение авторских и смежных прав (ст. 146 УК РФ), разглашение тайны усыновления (удочерения) (ст. 155 УК РФ), незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК РФ), незаконный экспорт технологий, научно-технической информации и услуг, используемых при создании оружия массового поражения, вооружения и военной техники (ст. 189 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), государственную измену (ст. 275 УК РФ), шпионаж (ст. 276 УК РФ), разглашение государственной тайны (ст. 283 УК РФ) и др.
Неправомерный доступ к компьютерной информации — преступление транснационального характера. Об этом, в частности, свидетельствует тревожная тенденция к распространению последствий указанного деяния на межгосударственный уровень. Стремительно перешагнув границы отдельных государств, неправомерный доступ к компьютерной информации затрагивает интересы всего международного сообщества, причиняет вред и государствам, и народам, и конкретным людям. Исходя из сказанного, становится очевидным, что неправомерный доступ к компьютерной информации как новая разновидность антиобщественного поведения представляет собой угрозу безопасности, нормальному функционированию российского общества и государства.
Разумеется, в борьбе с неправомерным доступом к компьютерной информации нельзя игнорировать организационные, технические и программные меры. Между тем эффективное решение задачи по обеспечению законных прав и интересов личности, общества и государства в области информационной безопасности невозможно без адекватных мер уголовно-правового характера. Разработчики нового Уголовного кодекса Российской Федерации, вступившего в действие с 1 января 1997 г., восполнили существенный пробел в защите одного из важнейших продуктов человеческой деятельности, впервые выделив в рамках IX раздела самостоятельную главу, именуемую “Преступления в сфере компьютерной информации”.
Главу открывает ст. 272 УК РФ, предусматривающая ответственность за неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Появление данной статьи уголовного закона и ее расположение в главе о компьютерных преступлениях на первом месте было вызвано катастрофическим положением, сложившимся на отечественном рынке компьютерной информации, связанным со свободным доступом пользователей персональных компьютеров к информационным ресурсам и бесконтрольным копированием последних. По данным, полученным Ю. Ляпуновым и В. Максимовым, около 98% копий программных продуктов производится в Российской Федерации именно таким путем.1
Неправомерный доступ к компьютерной информации является наиболее распространенным видом общественно опасных деяний, рассматриваемым в гл. 28 Особенной части УК. По данным ГИЦ МВД Российской Федерации, в 1997 г. их удельный вес в общем числе зарегистрированных преступлений в сфере компьютерной информации составил 64%.
В условиях криминальной напряженности возрастает значение уголовно-правовых средств борьбы с неправомерным доступом к компьютерной информации, что в большей степени зависит от структурного построения состава преступления, четкого формулирования его признаков. Несмотря на это, признаем, что разработанность нормативно-правовой базы, регламентирующей уголовную ответственность за неправомерный доступ к компьютерной информации является явно недостаточной и не позволяет в должной мере противостоять криминалитету, быстро адаптирующемуся к новым технологиям.
Более того, применение норм, содержащихся в ст. 272 УК РФ, будет неизбежно сопровождаться определенными трудностями.
Во-первых, это обусловлено, как уже отмечалось выше, отсутствием теоретической базы, судебной и следственной практики и соответствующих официальных разъяснений со стороны Верховного Суда и Генеральной прокуратуры Российской Федерации, призванных облегчить толкование и применение статьи закона сотрудниками органов следствия, дознания, судьями и прокурорами.
Во-вторых, многие признаки анализируемого нами состава преступления носят явно технический характер. Следовательно, их уяснение предполагает специальные знания не только в области уголовного права, но и в области компьютерной техники. Однако теоретическая и практическая подготовка следователей, дознавателей и оперативных работников в этой сфере пока остается достаточно низкой. Слабой до сегодняшних дней является обеспеченность оперативной и следственной работы экспертными исследованиями соответствующего профиля.
Все это может повлечь неоднозначное применение норм уголовного закона, устанавливающих юридическую ответственность за неправомерный доступ к компьютерной информации на практике и, следовательно, нарушить основополагающие принципы российского уголовного права — справедливости и законности.
Известно, что процесс юридической квалификации любого преступления состоит в установлении тождества наиболее существенных, типичных фактических обстоятельств конкретного общественно опасного и противоправного деяния признакам состава преступления определенного вида.1 По традиционно сложившейся практике квалификация преступления начинается с анализа объекта и предмета преступного посягательства. Затем следователь, дознаватель, прокурор и судья выявляют признаки объективной стороны исследуемого преступления, его субъекта и, наконец, субъективной стороны.
Придерживаясь данной схемы квалификации преступлений, рассмотрим признаки неправомерного доступа к компьютерной информации по отдельным элементам его состава.
Родовым объектом неправомерного доступа к охраняемой законом компьютерной информации является совокупность общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Именно поэтому рассматриваемый вид преступления помещен в раздел к Особенной части УК, именуемый “Преступления против общественной безопасности и общественного порядка”.
Одним из классификационных критериев объединения компьютерных преступлений в единую главу является видовой объект посягательства, который составляет совокупность общественных отношений в части правомерного и безопасного использования компьютерной информации и информационных ресурсов.
Непосредственным объектом анализируемого преступления, как это вытекает из текста закона, являются общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети.
Дополнительный объект неправомерного доступа к компьютерной информации факультативен. Его наличие зависит от вида вреда, причиненного правам и законным интересам потерпевшего. Дополнительным объектом может, например, выступать право собственности, авторское право, право на неприкосновенность частной жизни, личную и семейную тайну, общественные отношения по охране окружающей среды, внешняя безопасность Российской Федерации и др. Наличие дополнительного объекта, безусловно, повышает степень общественной опасности неправомерного доступа к компьютерной информации, что подлежит обязательному учету при назначении виновному справедливого наказания.
Объект преступного посягательства — необходимый элемент любого общественно опасного и противоправного деяния. В теории выработано строгое правило о том, что нет и не может быть безобъектных преступлений. Если в процессе расследования уголовного дела по факту неправомерного доступа к компьютерной информации будет установлено, что действия лица не причинили и даже не создали реальной угрозы причинения вреда в виде уничтожения, блокирования, модификации или копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети, то состав преступления, предусмотренный ст. 272 УК РФ, отсутствует. В этом случае отсутствует сам факт преступного посягательства на общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети. В соответствии с п. 2 ч. 1 ст. 5 УПК РСФСР указанное обстоятельство рассматривается как исключающее производство по уголовному делу. Таким образом, расследуемое правоохранительными органами дело подлежит немедленному прекращению.
Значительно большую сложность представляет уяснение предмета неправомерного доступа к компьютерной информации. А между тем предмет анализируемого посягательства выступает в качестве своеобразного отличительного критерия, объединяющего преступления данного вида в единую главу УК РФ. Более того, нельзя не признать, что специфические особенности, характеризующие содержание этого предмета, являются определяющими, ключевыми моментами как при отграничении рассматриваемого преступления от общественно опасных и противоправных деяний, расположенных в других главах УК РФ, так и при отграничении от такого компьютерного преступления, каким является создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), о чем, естественно, будет сказано ниже.
В диспозициях уголовно-правовых норм нередко содержится прямое указание на предмет преступного посягательства и его особенности. В ст. 272 УК РФ сказано об ответственности за неправомерный доступ к компьютерной информации. Поэтому есть все основания остановиться на особенностях предмета данного преступления, которые, на наш взгляд, характеризуются следующими обязательными показателями:
во-первых, компьютерная информация как предмет преступления, предусмотренный ст. 272 УК РФ, всегда является интеллектуальной собственностью;
во-вторых, указанная информация — есть предмет, не обладающий натуральными физическими параметрами (вещными свойствами);
в-третьих, компьютерная информация, воздействие на которую осуществляет преступник, охраняется законом;
в-четвертых, эта информация содержится на машинном носителе, в ЭВМ, системе ЭВМ или их сети.
Итак, для признания лица виновным в совершении преступления, предусмотренного ст. 272 УК РФ, необходимо установить, являлась ли компьютерная информация интеллектуальной собственностью государства, юридического лица, группы физических лиц или отдельного физического лица. Это положение корреспондирует с Государственным Стандартом Российской Федерации (ГОСТ Р 50922—96), согласно которому под защищаемой информацией (в том числе и компьютерной.) необходимо понимать информацию, являющуюся предметом собственности и подлежащую защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (государством, юридическим лицом, группой физических лиц или отдельным физическим лицом).
Компьютерная информация относится к объектам гражданских прав (ст. 128 ГК РФ). Стало быть, при определенных обстоятельствах этот объект вполне может выступать и в качестве предмета преступного посягательства. Таким образом, предметом неправомерного доступа к компьютерной информации следует признавать лишь объекты интеллектуальной собственности, обладающие определенной ценностью и способностью удовлетворять человеческие потребности.
Воздействие на компьютерную информацию, не являющуюся предметом интеллектуальной собственности государства, юридического лица, группы физических лиц или отдельного физического лица, не образует признаков состава преступления, предусмотренного ст. 272 УК РФ, и, следовательно, не имеет основания уголовной ответственности за подобное поведение.
В современной юридической литературе было высказано мнение о том, что предметом любого компьютерного преступления следует признать компьютер как информационную систему, носитель информации.1 На наш взгляд, указанная позиция весьма спорна. Ее принятие ведет не только к существенному расширению пределов уголовной ответственности за неправомерный доступ к компьютерной информации, но и к значительным затруднениям при отграничении анализируемого преступления от преступлений против собственности.
Действительно, бесспорен тот факт, что в диспозиции ст. 272 УК РФ в качестве предмета посягательства указывается не на электронно-вычислительную технику, а на компьютерную информацию, определение которой свидетельствует о ее нематериальном характере. Именно компьютерная информация выступает в качестве нематериальных ценностей, на которые непосредственно воздействует виновный, посягая на общественные отношения по обеспечению безопасности компьютерной информации, а также нормальной работы ЭВМ, системы ЭВМ или их сети.
Общественно опасные и противоправные посягательства, предметом которых является электронно-вычислительная техника как аппаратная структура, объединяются в совершенно иную группу преступлений, нарушающих охраняемые уголовным законом отношения собственности. Это объясняется тем, что электронно-вычислительная техника — есть материальный предмет внешнего мира, созданный общественно необходимым трудом, имеющий материальную ценность и определенную стоимость, представляющий собой движимую вещь, являющуюся чужой для виновного и, следовательно, соответствует всем необходимым признакам, характеризующим предмет преступления против собственности (гл. 21 Особенной части УК РФ).
Например, если виновный умышленно сжигает микропроцессор или выводит из рабочего состояния монитор (дисплей), то его действия, в зависимости от конкретных обстоятельств дела, подлежат квалификации по соответствующей части ст. 167 УК РФ.
По соответствующей части ст. 158 УК РФ необходимо квалифицировать действия лица, совершившего кражу ЭВМ.
Однако на практике могут возникнуть ситуации, когда преступное воздействие на электронно-вычислительную технику будет осуществляться путем непосредственного влияния на нее информационных команд. Это возможно, если виновному, скажем, удастся ввести движущиеся части машины (диски, принтер) в резонансную частоту, увеличить яркость дисплея или его части для прожигания люминофора, зациклить работу компьютера таким образом, чтобы при использовании минимального количества его участков произошел их разогрев и вывод из строя. Однако в этих случаях преступному посягательству подвергаются сразу два объекта уголовно-правовой охраны. Именно поэтому квалификация содеянного будет проводиться по совокупности преступлений, предусматривающих ответственность за преступления против собственности и преступления в сфере компьютерной информации.1
По совокупности преступлений (ст. 272 и соответствующей статье, расположенной в гл. 21 Особенной части УК РФ) следует квалифицировать и действия лица, похитившего ЭВМ и осуществившего неправомерный доступ к содержащейся в ней компьютерной информации в удобных для него условиях. ЭВМ в этом случае рассматривается в качестве предмета преступления против собственности, а компьютерная информация, воздействие на которую осуществляется чуть позже — предметом преступления, предусмотренного ст. 272 УК РФ.
По ст. 158 и ст. 272 УК РФ необходимо, например, квалифицировать действия Николаева, который, похитив в ТОО “Садко” компьютер, неправомерно проник в него и умышленно стер бухгалтерскую программу, причинив тем самым ущерб ТОО на сумму 200 тыс. руб.
Следующей специфической особенностью предмета анализируемого преступления является то обстоятельство, что компьютерная информация, воздействие на которую осуществляет виновный, охраняется законом.
Используемый в диспозиции ст. 272 УК РФ термин “охраняемая законом” свидетельствует, что действующее уголовное законодательство Российской Федерации берет под свою охрану совокупность общественных отношений по правомерному и безопасному использованию не любой компьютерной информации, а только той, которая находится под защитой закона (Конституции Российской Федерации, Федерального конституционного закона Российской Федерации, Федерального закона Российской Федерации, Конституции (Устава) субъекта Российской Федерации, Закона субъекта Российской Федерации). Таким образом, следует признать, что охраняемая законом компьютерная информация — это информация ограниченного доступа, которая имеет не только специальный правовой статус, установленный соответствующими законами Российской Федерации или законами субъектов Российской Федерации, но и по своему характеру предназначена для ограниченного круга лиц (пользователей), имеющих право на ознакомление и работу с ней.
Охраняемая законом компьютерная информация может касаться различных аспектов жизнедеятельности личности, общества и государства. В связи с тем, что далеко не все органы следствия и дознания, прокуратуры и суда имеют в своем распоряжении соответствующую нормативно-правовую литературу, представляется целесообразным раскрыть содержание этого вопроса более подробно.
Ст. 21 Федерального закона “Об информации, информатизации и защите информации” определяет, что “защите подлежит любая документированная информация [Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (ст. 2 Федерального закона “Об информации, информатизации и защите информации”]1, неправомерное обращение, с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу”. При этом “режим защиты информации" устанавливается:
- в отношении сведений, отнесенных к государственной тайне — уполномоченными органами на основании Закона Российской Федерации “О государственной тайне”;
- в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
- в отношении персональных данных [Небезынтересно отметить, что группа депутатов Государственной Думы Федерального Собрания Российской Федерации подготовила проект Закона РФ “Об информации, содержащей сведения персонального характера”, который планируется вынести на обсуждение депутатов нижней палаты в ближайшее время.] — Федеральным законом”.
К охраняемой законом компьютерной информации, собственником которой является государство, относится любая информация, содержащая сведения о государственной тайне.
Так, в ст. 2 Закона Российской Федерации “О государственной тайне” указывается, что “государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации”1.
К государственной тайне могут быть отнесены следующие сведения, неправомерный доступ к которым, при достаточных к тому основаниях, образует признаки преступления, предусмотренного ст. 272 УК РФ:
1) сведения в военной области о:
содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию войск, об их боеспособности и мобилизационной готовности, о создании и использовании мобилизационных ресурсов;
направлениях развития вооружения и военной техники, содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники;
количестве, устройстве и технологии производства ядерного и специального оружия, технических средствах и методах его защиты от несанкционированного применения;
тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, свойствах, рецептах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения;
дислокации, назначении, степени готовности и защищенности режимных и особо важных объектов, об их проектировании и строительстве, а также об отводе земель, недр и акваторий для этих объектов;
дислокации, действительных наименованиях, организационной структуре, вооружении и численности объединений, соединений и частей Вооруженных Сил Российской Федерации;
2) сведения в области экономики, науки и техники о:
содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, мобилизационных мощностях промышленности по изготовлению вооружения и военной техники, об объемах поставок и о запасах стратегических видов сырья и материалов, а также о размещении и фактических размерах государственных материальных резервов;
использовании инфраструктуры Российской Федерации в интересах обеспечения ее обороноспособности и безопасности;
силах и средствах гражданской обороны, дислокации, предназначении и степени защищенности объектов административного управления, обеспечения безопасности населения, о функционировании промышленности, транспорта и связи в целом по Российской Федерации;
объемах, планах (заданиях) государственного оборонного заказа, выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, связях предприятий по кооперации, разработчиках или изготовителях указанных вооружения, военной техники и другой оборонной продукции;
научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность Российской Федерации;
государственных запасах драгоценных металлов и драгоценных камней Российской Федерации, ее финансах и бюджетной политике (кроме обобщенных показателей, характеризующих общее состояние экономики и финансов);
3) сведения в области внешней политики и экономики о внешнеполитической и внешнеэкономической (торговой, кредитной и валютной) деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб ее интересам;
4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности о:
силах, средствах, источниках, методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;
лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность;
системе правительственной и об иных видах специальной связи, о государственных шифрах, методах и средствах их анализа;
методах и средствах защиты секретной информации;
государственных программах и мероприятиях в области защиты государственной тайны.1 Наименования федеральных органов исполнительной власти и других государственных органов, наделенных полномочиями, по распоряжению перечисленными выше сведениями утверждены Указом Президента Российской Федерации № 1203 от 30 ноября 1995 г.
Выделяется три основных вида информации, охраняемых законодательством России, которые одновременно подлежат защите:
сведения, отнесенные к государственной тайне соответствующим федеральным законом, под которыми понимается информация в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности России.1
сведения, отнесенные к служебной и коммерческой тайне (в соответствии со ст.139 Гражданского кодекса России), под которыми понимается информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, если к ней нет законного доступа на законных основаниях и обладатель такой информации принимает меры к охране ее конфиденциальности.2
сведения, имеющие статус персональных данных, под которыми в соответствии с Федеральным Законом "Об информации, информатизации и защите информации" понимается информация о гражданах, включаемая в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, органов местного самоуправления, а также получаемая и собираемая негосударственными предприятиями.3
И если функции защиты государственной тайны отнесены к уполномоченным на то службам и финансируется государством, то данные, составляющие коммерческую тайну, хотя и охраняются законом, непосредственная организация их защиты ложится на Ваши плечи. Из соответствующих норм Гражданского кодекса России можно сделать вывод, что владелец информации, составляющей коммерческую тайну, обязательно должен принимать меры к ее охране и только в этом случае при соблюдении иных требований, изложенных в статье 139 ГК, на данную информацию будут распространяться соответствующие нормы гражданского законодательства.
Так какие же существуют способы нападения и как следуют защищаться от них? В силу многогранности данной проблемы остановимся лишь на некоторых из них. Заранее оговоримся, что разговор пойдет только о наиболее распространенных злоумышленных действиях, так как описание всех опасностей займет большое количество времени, к тому же некоторые из них носят гипотетический характер.
Хищение данных - один из распространенных видов компьютерных преступлений, как и преступлений вообще. Самым легким способом, к которому прибегает злоумышленник при хищении данных, является их подмена. Благодаря этому простому и безопасному способу внутренние служащие могут увеличивать размер своего жалования, делать вклады на собственные банковские счета, скрыть следы мошенничества с деньгами и материальными ценностями, помимо этого хищение данных могут совершаться для передачи их третьим лицам.
Сбор мусора - часто связан с необходимостью покопаться в отходах, чтобы найти ленты, диски, информацию о кредитных карточках, использованные копирки и другие сведения, которые можно было бы использовать в корыстных целях. Применительно к компьютерам сбор мусора может означать восстановление с помощью соответствующих утилит файлов, удаленных с жестких или гибких дисков.
Несанкционированный доступ - распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к информации, на которую у него нет разрешения в соответствии с принятой в организации политикой безопасности.
Незаконное использование привилегий - любая защищенная система содержит средства, используемые в чрезвычайных ситуациях или средства, которые способны функционировать с нарушением существующей политики безопасности. В некоторых случаях пользователь должен иметь возможность доступа ко всем наборам системы. Такие средства необходимы, но они являются чрезвычайно опасными. Обычно эти средства используются операторами, системными программистами и другими пользователями, выполняющими специальные функции, но этими же средствами может воспользоваться и злоумышленник.
Маскарад - выполнение каких-либо действий одним пользователем АСОИ от имени другого пользователя. При этом действия, которыми воспользовался злоумышленник, могут быть разрешены пользователю, от имени которого он выступает. Цель "маскарада" - сокрытие действий за именем другого пользователя или присвоение его прав и привилегий для доступа к его массивам информации.
Потайные ходы и лазейки - это дополнительный способ проникновения в систему, часто преднамеренно создаваемый разработчиком АСОИ или программного обеспечения. Выполнив определенное действие или нажав определенную клавишу на клавиатуре компьютера, злоумышленник может обойти защиту, предусмотренную программой.
Суперзаппинг - несанкционированное использование каких-либо утилит для модификации, уничтожения или копирования информации.
«Троянский конь» - это любая программа, которая, вместо выполнения действий, для которых она якобы предназначена, на самом деле выполняет другие. Троянский конь может производить самые различные операции, как и любая программа, включая изменение баз данных, запись в платежные ведомости, отправку электронной почты и пр. Когда такая программа запускается, она может привести к различным разрушающим последствиям.
Сетевые анализаторы - большинство продуктов такого рода могут считывать любые параметры потока данных, включая любой незашифрованный текст. Возможность запуска такой программы злоумышленником может привести к утечке конфиденциальной информации, выведыванию паролей пользователей и прочим нежелательным последствиям.
К охраняемой законом компьютерной информации следует отнести информацию в отношении сведений, составляющих служебную, коммерческую или банковскую тайну. Это обстоятельство, в частности, вытекает из положений, содержащихся в нормах гражданского и уголовного законодательства, выступающих надежной гарантией защиты служебной, коммерческой или банковской тайны.
Согласно ч. 1 ст. 139 ГК РФ, информация составляет служебную или коммерческую тайну в случае, когда имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами (например. Постановлением Правительства Российской Федерации № 35 “О перечне сведений, которые не могут составлять коммерческую тайну” от 5 декабря 1991 г.1 При этом во второй части указанной статьи прямо оговаривается, что информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Банковской тайной, как это вытекает из смысла ст. 857 ГК РФ, являются не подлежащие разглашению сведения о банковском счете и банковском вкладе, операциях по счету и о клиенте. Это положение конкретизировано в ст. 26 Закона РСФСР “О банках и банковской деятельности” от 2 декабря 1990 г. (в редакции Федерального закона от 3 февраля 1996 г.), в которой сказано, что кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит Федеральному закону.
Наиболее опасные посягательства на общественные отношения, возникающие по поводу осуществления основанной на законе предпринимательской деятельности и обеспечивающие сохранность коммерческой или банковской тайны влекут уголовную ответственность по ст. 183 УК РФ, что еще раз свидетельствует о защите указанных сведений российским законом. Компьютерная информация, являющаяся объектом авторского права, также относится к информации, охраняемой законом, являясь, в свою очередь, составной частью гарантированной ст. 44 Конституции Российской Федерации свободы литературного, художественного, научного, технического и других видов творчества. Конституция Российской Федерации предусматривает защиту законом интеллектуальной собственности. Поэтому неправомерный доступ к такого рода информации, содержащейся на машинном носителе, ЭВМ, системе ЭВМ или их сети, влечет уголовную ответственность по ст. 272 УК РФ.
Правовая охрана указанной информации осуществляется в соответствии с Законом Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” от 20 октября 1992 г.,1 в котором к числу объектов авторского права законодатель относит программы для ЭВМ и базы данных. Это положение дополнительно закреплено введенным в действие 3 августа 1993 г. Законом Российской Федерации “Об авторском праве и смежных правах [Российская газета, 1993, 3 августа.], целый ряд норм которого касается правовой охраны программ для ЭВМ и баз данных.
При этом следует особо подчеркнуть, что особенность института авторского права состоит в распространении охраны именно на форму представления информации, а не на ее сущностное содержание. В этой связи правовая охрана информации не распространяется на идеи и принципы, лежащие в основе программы для ЭВМ или базы данных или какого-либо их элемента. В частности, она не распространяется на алгоритм, положенный в основу компьютерной программы.
В качестве объекта охраны признается не идея, заключенная в алгоритме, а лишь конкретная реализация этого алгоритма в виде совокупности данных и команд, представляющая собой символическую запись программы для ЭВМ и охраняемая в соответствии со ст. 2 Закона Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” как произведение литературы. При этом под программой для ЭВМ законодатель подразумевает также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.
Под базой данных понимается объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. С точки зрения правовой охраны, базы данных аналогичны сборникам литературных произведений. Поскольку охрана базы данных осуществляется в отношении формы представления и организации совокупности включенных в нее данных, правовая охрана программ для ЭВМ, управляющих базами данных, может быть осуществлена самостоятельно. При этом заметим, что авторское право на программу для ЭВМ или базу данных возникает в силу их создания. Поэтому для признания и осуществления авторского права на программу для ЭВМ или базу данных не требуется депонирования, регистрации или соблюдения иных формальностей.
В свою очередь, ст. 15 Закона Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” содержит ряд положений, определяющих условия свободного (без специального разрешения правообладателя) воспроизведения и адаптации программы для ЭВМ или базы данных. Эти положения дополнены в более позднем Законе “Об авторском праве и смежных правах”. Так, согласно ст. 25 указанного закона лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения разрешения автора или иного обладателя исключительных прав на использование произведения и без выплаты дополнительного вознаграждения:
1) внести в программу для ЭВМ или базу данных изменения, осуществляемые исключительно в целях ее функционирования на технических средствах пользователя, осуществлять любые действия, связанные с функционированием программы для ЭВМ или базы данных в соответствии с ее назначением, в том числе запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), а также исправление явных ошибок, если иное не предусмотрено договором с автором;
2) изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей и для замены правомерно приобретенного экземпляра в случаях, когда оригинал программы для ЭВМ или базы данных утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована для иных целей, чем указано в п. 1, и должна быть уничтожена в случае, если владение экземпляром этой программы для ЭВМ или базы данных перестает быть правомерным. В соответствии со ст. 20 Закона “О правовой охране программ для электронно-вычислительных машин и баз данных” выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность. Это положение не осталось без внимания законодателя, установившего в новом УК РФ ответственность за незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства, если эти деяния причинили крупный ущерб (ст. 146 УК РФ).
В том случае, когда виновный несанкционированно вызвал компьютерную информацию, являющуюся объектом авторского права, и, совершая с ней различного рода манипуляции, нарушил права законного собственника этой информации, то действия виновного подлежат квалификации по совокупности со ст. 146 УК РФ.
По ст. 146 и 272 УК РФ следует, например, расценивать действия субъекта, который осуществил неправомерный доступ к программе для ЭВМ, являющейся объектом авторского права, скопировал эту программу и продал под чужим именем.
На практике может возникнуть вопрос: является ли компьютерная информация, содержащая сведения о частной жизни конкретного человека, предметом преступления, ответственность за совершение которого предусмотрена ст. 272 УКРФ?
Как представляется, ответ на этот вопрос должен быть положительным. В соответствии с Конституцией Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1 ст. 23 Конституции РФ). Устанавливая право искать, получать, передавать, производить и распространять информацию персонального характера (ч. 4 ст. 29 Конституции РФ) основной закон нашего государства прямо предусматривает ограничение этого права, направленного на защиту личной жизни, уважения прав и репутации других лиц. Так, например, ч. 1 ст. 24 Конституции Российской Федерации гласит: “сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается”. Таким образом, Конституция России определяет основы правового режима информации о частной жизни, направленные прежде всего на защиту прав личности.
Реализация этого конституционного положения находит свое непосредственное выражение в нормах уголовного закона, предусматривающих ответственность за нарушение неприкосновенности частной жизни (ст. 137 УК РФ), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 УК РФ), разглашение тайны усыновления или удочерения (ст. 155 УК РФ).
Уголовное законодательство России определяет нарушение неприкосновенности частной жизни как незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну (ч. 1 ст. 137 УК РФ). Следовательно, под охраной закона находится любая информация, содержащая сведения о личной или семейной тайне конкретного человека. Закон не раскрывает содержания указанных дефиниций. В теории же уголовного права под личной тайной понимают сведения, имеющие сугубо личный характер (взаимоотношения, связи, привычки, взгляды, встречи, обстоятельства интимной жизни и т. п.), разглашение которых лицо считает нежелательным.
Семейная тайна — вид личной тайны, касающейся семьи данного лица (супруга, родителей, детей, братьев, сестер, других родственников).
Представляется, что к информации, содержащей сведения о частной жизни человека, следует также отнести сведения о денежных вкладах, семейном бюджете, личной собственности лица, а также сведения, касающиеся состояния здоровья человека, его нотариальных действий и т. п. Современное российское законодательство в некоторых случаях берет под свою охрану информацию, содержащую сведения об имени лица, под которым понимается собственное имя гражданина, его отчество и фамилия. Так, например, согласно ст. 42 Закона “О средствах массовой информации”, принятого в 1991 г., редакция обязана сохранять в тайне источник информации и не вправе называть лицо, предоставившее сведения с условием неразглашения его имени (за исключением случаев, когда соответствующие требования поступают от суда в связи с находящимся в его производстве делом).
Федеральный закон “Об оперативно-розыскной деятельности”, принятый в 1995 г., гарантирует сохранение тайны имени лиц, внедренных в организованные преступные группы, штатных негласных сотрудников органов, осуществляющих оперативно-розыскную деятельность, а также лиц, оказывающих или оказавших содействие этим органам на конфиденциальной основе. Сведения об этих лицах могут быть преданы гласности лишь с их согласия в письменной форме и в случаях, прямо предусмотренных федеральными законами (ч. 2 ст. 12). В частности, сведения о таких лицах предоставляются прокурору без их согласия в случаях привлечения к уголовной ответственности (ч. 3 ст. 21). Таким образом, незаконный доступ к компьютерной информации, содержащей, скажем, сведения об именах штатных негласных сотрудников органов, осуществляющих оперативно-розыскную деятельность, равно как и доступ к информации, содержащей имя человека, предоставившего сведения средствам массовой информации с условием неразглашения имени источника, квалифицируется по ст. 272 УК РФ. В приведенных нами примерах предметом рассматриваемого преступления является компьютерная информация, охраняемая законом. Образ мыслей, мировоззрение, увлечения и творчество также относятся к проявлениям частной жизни и, следовательно, в некоторых случаях могут составлять личную или семейную тайну. Между тем следует подчеркнуть, что не каждое сведение о частной жизни какого-либо лица может отвечать требованиям предмета преступного посягательства, а значит, находиться под охраной закона. В конечном итоге этот вопрос решается судом с учетом всех обстоятельств конкретного дела, и прежде всего с учетом оценки степени тяжести наступивших вредных последствий для потерпевшего.
Итак, предметом преступления, предусмотренного ст. 272 УК РФ, выступает компьютерная информация, охраняемая законом (конфиденциальные сведения о персональных данных, сведения, составляющие служебную, коммерческую, банковскую или государственную тайну, информация, являющаяся объектом авторского права). Неправомерный доступ к компьютерной информации общего пользования, т. е. информации, адресованной для использования неограниченно широкому кругу лиц, не образует признаков преступления, ответственность за совершение которого предусмотрена ст. 272 УК РФ.
Установление этого показателя позволяет не только с предельной точностью применить норму статьи закона к лицу, совершившему преступление, но и способствует при отграничении неправомерного доступа к компьютерной информации от создания, использования и распространения вредоносных программ для ЭВМ (ст. 273 УК РФ), где предметом посягательства может выступать информация общего пользования, т. е. компьютерная информация, неохраняемая законом.
Наконец, немаловажным показателем, характеризующим предмет посягательства при неправомерном доступе к компьютерной информации является то обстоятельство, что информация, на которую воздействует преступник, содержится на машинном носителе, в ЭВМ, системе ЭВМ или их сети. Информация, содержащаяся на бумажном или ином физическом носителе, не указанном в диспозиции статьи закона, не подпадает под понятие предмета преступления, предусмотренного ст. 272 УК РФ.
Так, например, отсутствуют основания ответственности по ст. 272 УК РФ в случае незаконного доступа и уничтожения соответствующей информации, содержащейся на бумажном носителе. Такая информация не обладает статусом компьютерной информации и в силу этого не может признаваться предметом этого преступления.
Существует тесная связь между предметом посягательства и объектом преступления. Сам по себе предмет посягательства вне связи с объектом преступления не может служить раскрытию общественной опасности деяния. Предмет посягательства является лишь формой, условием существования общественных отношений.
Проведенный анализ специфических особенностей, характеризующих содержание предмета преступления, предусмотренного ст. 272 УК РФ, позволяет констатировать, что неправомерный доступ к компьютерной информации образует состав преступления только в том случае, когда указанная информация охранялась законом, являлась предметом интеллектуальной собственности государства, юридического лица, группы физических лиц или отдельного физического лица, выступала в качестве нематериальной ценности и содержалась на машинном носителе, в ЭВМ, системе ЭВМ или их сети. Только в этом случае имеет место преступное нарушение общественных отношений по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети.
Изолированный анализ предмета посягательства не позволяет уяснить то отношение, которому наносится ущерб, что, в свою очередь, может порождать ошибки при квалификации преступлений и, следовательно, ведет к противопоставлению основополагающих принципов российского уголовного права.
Правильное определение объекта и предмета преступления является хотя и необходимым, но всего лишь первоначальным этапом в идентификации преступного посягательства. Как отмечалось выше, квалификация означает нахождение, сопоставление и установление тождества всех элементов преступления и признаков состава преступления определенного вида. Поэтому, не нарушая предложенной схемы, рассмотрим признаки неправомерного доступа к компьютерной информации, характеризующие это преступление с его объективной, внешней стороны.
§ 5. Юридический анализ иных преступлений
в сфере компьютерной информации
Компьютерным преступлениям посвящена глава 28 УК РФ, которая называется “Преступления в сфере компьютерной информации”. Преступными считаются такие действия, как неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ для ЭВМ, нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Объективная сторона неправомерного доступа к компьютерной информации, являясь одной из основных подсистем преступления, состоит из ряда взаимодействующих элементов, которые в своей совокупности образуют процесс внешнего посягательства на объект уголовно-правовой охраны1
Объективная сторона преступления, предусмотренного ч. 1 ст. 272 УК РФ, выражается в неправомерном доступе к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Исходя из данного законодателем определения, можно выделить три обязательных признака неправомерного доступа к компьютерной информации, характеризующих это преступление с его внешней, объективной стороны. Такими признаками являются:
1) общественно опасное действие, к которому законодатель относит неправомерный доступ к охраняемой законом компьютерной информации;
2) общественно опасные последствия в виде уничтожения, блокирования, модификации или копирования компьютерной информации, нарушения работы ЭВМ, системы ЭВМ или их сети;
3) наличие причинной связи между совершенным деянием и наступившими последствиями.
Отсутствие хотя бы одного из перечисленных признаков означает и отсутствие уголовной ответственности по ст. 272 УК РФ.
Прежде всего, к объективным признакам анализируемого преступления относится общественно опасное деяние, которое всегда проявляется в активной форме поведения виновного. Совершить неправомерный доступ к компьютерной информации путем бездействия невозможно.
Как отмечалось выше, действия виновного заключаются в осуществлении неправомерного доступа к охраняемой законом компьютерной информации. В силу этого положения, одним из необходимых оснований для привлечения виновного к уголовной ответственности по ст. 272 УК РФ будет являться установление того факта, что лицо действовало неправомерно. Иными словами, оно не имело права вызывать информацию, знакомиться с ней и распоряжаться ею. Неправомерность доступа к информации — обязательный показатель, характеризующий рассматриваемое нами преступление с объективной стороны.
В диспозиции статьи закона указывается на неправомерный доступ именно к компьютерной информации, а не к носителям, на которых информация содержится. В силу этого положения становится очевидным, что физическое повреждение компьютера, повлекшее уничтожение информации хранящейся в нем, не отвечает правовому содержанию общественно опасного действия, присущего преступлению, предусмотренному ст. 272 УК РФ и, следовательно, не образует основания уголовной ответственности за его совершение. Речь в этом случае может идти об умышленном либо неосторожном уничтожении или повреждении имущества.
Вторым обязательным признаком объективной стороны неправомерного доступа к компьютерной информации являются общественно опасные последствия — общественно опасный ущерб, отражающий свойства преступного деяния и объекта посягательства, наносимый виновным поведением, от причинения которого соответствующее общественное отношение охраняется средствами уголовного права. Законодатель не раскрывает понятия конкретных видов общественно опасных последствий, выступающих в качестве обязательного признака объективной стороны рассматриваемого преступления. Поэтому имеются все основания остановиться на них более подробно.
Под уничтожением информации следует понимать такое изменение ее первоначального состояния (полное либо частичное удаление информации с машинных носителей), при котором она перестает существовать в силу утраты основных качественных признаков. При этом для квалификации преступления по ст. 272 УК РФ не имеет значения, имелась ли у потерпевшего копия уничтоженной виновным информации или нет.
Блокирование компьютерной информации представляет собой закрытие информации, характеризующееся недоступностью ее использования по прямому назначению со стороны законного пользователя, собственника или владельца.
Модификация заключается в изменении первоначального состояния информации (например, реструктурирование или реорганизация базы данных, удаление или добавление записей, содержащихся в ее файлах, перевод программы для ЭВМ или базы данных с одного языка на другой), не меняющей сущности объекта.
Под копированием понимают перенос информации или части информации с одного физического носителя на другой.
Сам по себе факт вызова или просмотра компьютерной информации, хранящейся на машинном носителе, состава анализируемого преступления не образует. Необходимо, по крайней мере, установить факт переноса указанной информации на другой машинный носитель. Между тем нельзя забывать, что несанкционированное ознакомление с охраняемой законом компьютерной информацией может выступать в качестве приготовления или покушения на совершение иного умышленного преступления: например, вымогательства, разглашения сведений, составляющих коммерческую или банковскую тайну, шпионажа и др. В этом случае дополнительной квалификации по ст. 272 УК РФ не требуется.
Нарушение работы ЭВМ, системы ЭВМ или их сети включает в себя сбой в работе ЭВМ, системы ЭВМ или их сети, препятствующий нормальному функционированию вычислительной техники при условии сохранения ее физической целостности и требований обязательного восстановления (например, отображение неверной информации на мониторе, нарушение порядка выполнения команд, разрыв сети и др.).
В том случае, когда неправомерный доступ к компьютерной информации приводит к серьезным повреждениям компьютерной техники и тем самым причиняет значительный ущерб собственнику или владельцу, действия виновного наряду со ст. 272 УК РФ подлежат дополнительной квалификации по ст. 167 УК РФ (умышленное уничтожение или повреждение имущества).
По ст. 272 УК РФ следует, например, квалифицировать действия лица, если оно несанкционированно вызвало компьютерную информацию и, умышленно внеся изменения в один из файлов операционной системы, вывело компьютер из рабочего состояния.
Аналогичная квалификация будет и в том случае, когда виновный путем модификации определенного файла сетевой операционной системы нарушил нормальное функционирование компьютерной сети.
Анализ ч. 1 ст. 272 УК РФ позволяет признать, что неправомерный доступ к компьютерной информации относится к материальным составам преступления и, следовательно, считается оконченным с момента наступления общественно опасных последствий, альтернативно перечисленных в диспозиции статьи закона. В случае отсутствия указанных последствий состав анализируемого преступления не считается полным. Поэтому действия лица, хотя и связанные с неправомерным доступом к компьютерной информации, но не повлекшие за собой уничтожение, блокирование, модификацию либо копирование компьютерной информации, нарушение работы ЭВМ, системы ЭВМ или их сети по не зависящим от этого лица обстоятельствам, образуют предварительную преступную деятельность и квалифицируются со ссылкой на ст. 30 УК РФ.
По ч. 3 ст. 30 УК РФ и соответствующей части ст. 272 УК РФ следует, например, квалифицировать действия лица, застигнутого работниками правоохранительных органов за работой на компьютере, связанной с несанкционированным вызовом информации с целью ее последующего уничтожения, блокирования, модификации или копирования, а равно с целью нарушения работы ЭВМ, системы ЭВМ или их сети.
В соответствии с ч. 2 ст. 30 УК РФ уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлению. Простой и квалифицированный виды неправомерного доступа к компьютерной информации относятся, соответственно, к преступлениям небольшой (ч. 2 ст. 15 УК РФ) и средней (ч. 3 ст. 15 УК РФ) тяжести. Следовательно, приготовление к этим преступлениям ненаказуемо. Что касается покушения на преступление, предусмотренное ст. 272 УК РФ, то оно наказуемо.
Следует иметь в виду, что, согласно ч. 3 ст. 66 УК РФ, срок или размер наказания за покушение на преступление не может превышать трех четвертей максимального срока иди размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части настоящего Кодекса за оконченное преступление. Максимальный срок наиболее строгого вида наказания за простой вид неправомерного доступа к компьютерной информации — два года лишения свободы. Из этого законодательного положения вытекает, что максимальный срок наказания за покушение на неправомерный доступ к компьютерной информации не может превышать одного года и шести месяцев лишения свободы, если, разумеется, указанное преступление не было совершено группой лиц по предварительному сговору, организованной группой либо лицом, использовавшим свое служебное положение, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.
Максимальный срок наказания за покушение на квалифицированный вид неправомерного доступа к компьютерной информации не может превышать трех лет и девяти месяцев лишения свободы, так как максимальный срок за оконченное преступление данного вида соответствует пяти годам лишения свободы.
Наконец, третьим необходимым признаком объективной стороны неправомерного доступа к компьютерной информации является причинная связь между противозаконными действиями виновного и наступившими вредными последствиями. Для признания лица виновным в совершении неправомерного доступа к компьютерной информации органы дознания, следователь и суд обязаны достоверно установить наличие причинной связи между действиями виновного лица и наступившими вредными последствиями в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети, а не исходить в решении этого вопроса из вероятного знания.
В теории уголовного права России под причинной связью понимают такое отношение между явлениями внешнего мира, при котором одно явление (причина) закономерно, с внутренней необходимостью порождает, вызывает другое явление (следствие)1 Основываясь на этом определении причинной связи можно утверждать, что ответственность по ст. 272 УК РФ наступает только в том случае, если преступные последствия, альтернативно отраженные в ее диспозиции, явились именно необходимым следствием, закономерно вызванным неправомерным доступом лица к охраняемой законом компьютерной информации, а не наступили в силу иных причин.
В том случае, когда уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети не являются следствием неправомерного доступа к компьютерной информации, а наступают в силу иных причин (например, создания вредоносной программы для ЭВМ, нарушения правил эксплуатации ЭВМ, резкого перепада напряжения электрического тока и т. д.), признаки преступления, предусмотренного ст. 272 УК, отсутствуют. При этом необходимо помнить — в деянии лица могут содержаться признаки иного состава преступления, что обязан устанавливать правоприменитель.
Если допустить, что причиной уничтожения охраняемой законом компьютерной информации стало нарушение правил эксплуатации вычислительной машины, допущенное оператором ЭВМ, деяние виновного надлежит квалифицировать по соответствующей части ст. 274 УК РФ. Состав преступления, предусмотренный ст. 272 УК РФ, в этом случае отсутствует.
Способ, орудия, средства, место, время и обстановка совершения анализируемого преступления являются факультативными признаками его объективной стороны. В силу этого обстоятельства их наличие не влияет на юридическую оценку поведения виновного, а учитывается лишь при индивидуализации уголовной ответственности и наказания. Между тем указанные признаки также подлежат обязательному выявлению и установлению в процессе расследования и судебного рассмотрения уголовного дела. Установление этих признаков, по существу, означает установление события преступления, что, в свою очередь, зафиксировано в уголовно-процессуальном законодательстве Российской Федерации. Так, в п. 1 ч. 1 ст. 68 УПК РСФСР определено, что при производстве дознания, предварительного следствия и разбирательстве уголовного дела в суде подлежит доказыванию событие преступления (время, место, способ и другие обстоятельства его совершения).
Способы неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными. Однако на одном из возможных способов совершения этого преступления хотелось бы остановиться более подробно. Речь идет о неправомерном доступе к компьютерной информации, совершенном с применением насилия над личностью либо угрозой его применения.
Действительно, на практике может возникнуть ситуация, когда виновный, не обладая определенными навыками работы с электронно-вычислительной техникой, но желая совершить неправомерный доступ к компьютерной информации, насильственно заставляет законного пользователя, владельца или собственника информации, а равно любое другое лицо войти в информационную систему и, например, скопировать либо модифицировать интересующую его (виновного) компьютерную информацию.
Диспозиция как простого, так и квалифицированного состава рассматриваемого преступления не охватывает своим содержанием указанный способ его совершения. Следовательно, квалификация действий виновного по одной лишь ст. 272 УК РФ будет в этом случае явно недостаточной. Посягая на общественные отношения по обеспечению безопасности компьютерной информации, нормальной работы ЭВМ, системы ЭВМ или их сети, виновный в этом случае одновременно посягает и на безопасность жизни и здоровья личности (в случае психического насилия) либо здоровье конкретного человека (при реальном применении физического насилия). Именно поэтому содеянное им, в зависимости от конкретных обстоятельств дела, надлежит квалифицировать по совокупности с соответствующим преступлением против личности.
По ст. 272 и ст. 112 УК РФ следует, например, квалифицировать действия лица, которое посредством причинения вреда средней тяжести здоровью законного пользователя вынуждает его вызвать ту или иную компьютерную информацию и уничтожить ее. При этом виновный выступает в качестве единственного исполнителя преступления (ч. 2 ст. 33 УК РФ), если, разумеется, законный пользователь информации находился в состоянии крайней необходимости (ст. 39 УК РФ). В противном случае ответственность наступает по правилам о соучастии в преступлении, хотя, конечно, квалификация по совокупности здесь также не исключается.
Действующее уголовное законодательство не выделяет квалифицированные составы преступлений по признаку использования электронной техники. Поэтому в тех случаях, когда неправомерный доступ к компьютерной информации выступает способом совершения другого умышленного преступления, а электронно-вычислительная техника используется в качестве орудия для достижения преступной цели, содеянное виновным квалифицируется по совокупности преступлений.
По ст. 272 и 327 УК РФ следует квалифицировать действия лица, совершившего подделку документа, хранящегося на машинном носителе, если акт подделки был связан с несанкционированным вызовом информации и внесением в ее содержание соответствующих изменений (модификации информации).
Наибольшую долю, как показывает практика, составляют хищения с использованием электронно-вычислительной техники и средств электронного платежа. Так, например, если лицо с целью хищения чужого имущества расшифровало код, управляющий электронной системой банка и ввело в ЭВМ команду перевести денежные средства на свой текущий счет, то действия такого лица, с учетом всех обстоятельств дела, необходимо квалифицировать по совокупности с преступлением против собственности.
В настоящее время при расследовании рассматриваемого преступления допускается множество различных ошибок. Отдельные из них по различным причинам прекращаются по п. 3 ст. 195 УПК РСФСР. Так, следователь следственной части следственного управления УВД Приморского края принял к производству уголовное дело, возбужденное по признакам состава преступления, предусмотренного п. “а” ч. 3 ст. 159 УК РФ — незаконное перечисление бюджетных средств из дорожного фонда и налога на имущество на расчетные счета коммерческих предприятий. Преступление осталось нераскрытым, так как не было установлено лицо (предположительно работник налоговой инспекции Ленинского района г. Владивостока), которое внесло в компьютерную базу ложные сведения о проводке платежей в бюджет.
В силу специфики рассматриваемого вида преступления орудием его совершения, как правило, является компьютерная техника — различные виды ЭВМ, аппаратные средства, периферийные устройства, а также линии связи, с помощью которых вычислительная техника объединяется в информационные сети. Наиболее часто орудием преступления является персональный компьютер. Определенную сложность у сотрудников правоохранительных органов может вызывать установление времени и места совершения неправомерного доступа к компьютерной информации. Время и место совершения рассматриваемого преступления (место происшествия) может не совпадать с местом и временем реального наступления общественно опасных последствий. В практике борьбы с компьютерной преступностью немало случаев, когда сам факт неправомерного доступа к охраняемой информации фиксировался в одной стране, а преступные последствия наступали на территории другого государства. Иллюстрацией этому может служить хищение крупной суммы денежных средств из английского “Сити-банка”, совершенное с участием молодого российского инженера в 1995 г. Как стало известно следствию, атака на систему защиты одного из крупнейших мировых банков проводилась с территории города Санкт-Петербург.
Действующее уголовное законодательство России временем совершения любого преступления признает время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий (ч. 2 ст. 9 УК РФ). Очевидно, данное правило не должно распространяться на вопрос о месте совершения преступления, который так и не получил законодательного разрешения. Представляется, что местом совершения неправомерного доступа к компьютерной информации следует признавать территорию того государства, где это преступление было окончено. Указанная точка зрения полностью корреспондирует с законодательным положением ст. 8 УК РФ об основании уголовной ответственности: основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом.
Как указывалось выше, состав неправомерного доступа к компьютерной информации конструктивно сформулирован как материальный. Следовательно, помимо прочих признаков этот состав предполагает обязательное наличие вредных последствий. В противном случае состав не считается полным. Иная точка зрения фактически опровергает этот правовой императив, устанавливая правило, согласно которому наличие состава неправомерного доступа к компьютерной информации презюмируется даже тогда, когда необходимые последствия еще отсутствуют: местом совершения преступления признается место совершения общественно опасного действия (бездействия) независимо от места наступления вредных последствий.
Справедливость такого положения подтверждается и тем обстоятельством, что на практике могут возникнуть ситуации, когда лицо совершает акт неправомерного доступа к компьютерной информации на территории того государства, уголовное законодательство которого не признает указанное поведение преступным. В этом случае трудно отрицать, что виновный подлежит уголовной ответственности по ст. 272 УК РФ, если, разумеется, преступные последствия наступили на территории России. Следовательно, неправомерный доступ к компьютерной информации считается совершенным на территории Российской Федерации, несмотря на то обстоятельство, что предварительная деятельность виновного осуществлялась за границей. Достаточно установить факт наступления общественно опасных последствий на территории нашего государства.
Аналогичным образом будет решаться данный вопрос и в том случае, если вне пределов территории Российской Федерации осуществляется организаторская деятельность, подстрекательство или пособничество совершению неправомерного доступа к компьютерной информации. Организатор, подстрекатель и пособник, где бы их деятельность ни начиналась, несут ответственность по законодательству того государства, где завершил преступление исполнитель.
Наконец, при совершении неправомерного доступа к компьютерной информации на территории двух и более государств применяется закон того государства, где преступление было закончено или пресечено.
Разумеется, установление признаков объективной стороны состава преступления не является достаточным основанием и не предрешает характера уголовной ответственности. Единственным основанием уголовной ответственности является совершение деяния, содержащего все признаки конкретного состава преступления, предусмотренного законом, в том числе характеризующие поведение виновного с его внутренней, субъективной стороны. Учитывая, что некоторые вопросы, относящиеся к субъективной стороне неправомерного доступа к охраняемой законом компьютерной информации не получили должного освещения в специальной литературе, их правовой анализ заслуживает особого внимания.
Субъективная сторона неправомерного доступа к компьютерной информации и его субъект.
К признакам, характеризующим субъективную сторону любого преступления, относятся вина, мотив и цель общественно опасного и противоправного поведения субъекта. Все эти признаки дают представление о том внутреннем процессе, который происходит в психике лица, совершающего преступление, и отражают связь сознания и води индивида с осуществляемым им поведенческим актом.
Применительно к неправомерному доступу к компьютерной информации уголовно-правовое значение данных признаков далеко не равнозначно. Вина — необходимый признак субъективной стороны каждого преступления. Без вины нет состава преступления, не может, следовательно, наступить и уголовная ответственность. Иное значение приобретают такие признаки субъективной стороны неправомерного доступа к компьютерной информации, как мотив и цель совершения этого преступления, которые законодатель отнес к числу факультативных.
Раскрывая содержание вины (обязательного признака субъективной стороны рассматриваемого преступления), следует исходить из общепринятого в российской уголовно-правовой доктрине положения о том, что вина представляет собой психическое отношение лица к совершенному общественно опасному деянию и его общественно опасным последствиям, выраженное в форме умысла или неосторожности.
Несмотря на то, что диспозиция ст. 272 УК РФ не дает прямых указаний о субъективной стороне анализируемого преступления, можно с уверенностью говорить об умышленной форме вины в визе прямого или косвенного (эвентуального) умысла.
В специальной литературе высказывалась и другая точка зрения, согласно которой неправомерный доступ к охраняемой законом компьютерной информации может быть совершен только с прямым умыслом.1 Между тем закон вовсе не ограничивает привлечение лица к уголовной ответственности по ст. 272 УК РФ в случае совершения этого преступления с косвенным умыслом. Как показывает практика, преступник не всегда желает наступления вредных последствий. Особенно это характерно при совершении данного преступления из озорства или так называемого “спортивного интереса”.
В силу этого положения становится очевидным, что интеллектуальный момент вины, характерный для состава анализируемого преступления, заключается в осознании виновным факта осуществления неправомерного доступа к охраняемой законом компьютерной информации. При этом виновный понимает не только фактическую сущность своего поведения, но и его социально опасный характер. Кроме того, виновный предвидит возможность или неизбежность реального наступления общественно опасных последствий в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети. Следовательно, субъект представляет характер вредных последствий, осознает их социальную значимость и причинно-следственную зависимость.
Волевой момент вины отражает либо желание (стремление) или сознательное допущение наступления указанных вредных последствий, либо, как минимум, безразличное к ним отношение.
Неправомерный доступ к охраняемой законом компьютерной информации, совершенный по неосторожности, исключает правовое основание для привлечения лица к уголовной ответственности. Указанное положение полностью корреспондирует с ч. 2 ст. 24 УК РФ: “деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса”. О неосторожности в диспозиции ст. 272 УК РФ не сказано. Следовательно, деяние может быть совершено лишь умышленно. В силу этого обстоятельства трудно согласиться с мнением авторов одного из научно-практических комментариев к Уголовному кодексу Российской Федерации, в котором утверждается, что неправомерный доступ к информации может совершаться как с умыслом, так и по неосторожности. “Неосторожная форма вины, — пишет С. А. Пашин, — может проявляться при оценке лицом правомерности своего доступа к компьютерной информации, а также в отношении неблагоприятных последствий доступа, предусмотренных диспозицией данной нормы уголовного закона”1 Признание этой точки зрения противоречит законодательному положению, закрепленному в ч. 2 ст. 24 УК РФ, что, в свою очередь, ведет к возможности необоснованного привлечения лица к уголовной ответственности за неосторожное поведение.
Сказанное позволяет сделать вывод о том, что при совершении неправомерного доступа к компьютерной информации интеллектуальный и волевой моменты вины всегда наполнены определенным содержанием, выяснение которого является предпосылкой правильной юридической оценки содеянного.
Мотивы и цели неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными. Обязательными признаками состава рассматриваемого преступления они не являются и, следовательно, на квалификацию преступления не влияют. Однако точное установление мотивов и целей неправомерного доступа к охраняемой законом компьютерной информации позволяет выявить не только причины, побудившие лицо совершить данное преступление, но и назначить виновному справедливое наказание.
Как правило, побуждающим фактором к совершению неправомерного доступа к охраняемой законом компьютерной информации является корысть, что, естественно, повышает степень общественной опасности указанного преступления. Так, по данным В. П. Панова, соотношение корысти с другими мотивами преступлений в сфере компьютерной информации составляет 66%2 В качестве иллюстрации корыстного доступа к компьютерной информации может служить пример, когда лицо путем подбора идентификационного кода (пароля) внедряется в компьютерную сеть, обслуживающую банковские операции, и незаконно перечисляет определенную сумму денежных средств на свой текущий счет.
Наряду с корыстью, анализируемое преступление может совершаться из чувства мести, зависти, хулиганства, желания испортить деловую репутацию конкурента, “спортивного интереса” или желания скрыть другое преступление и т. д.
Согласно ст. 20 УК РФ, субъектом преступления, предусмотренного ч. 1 ст. 272 УК РФ, может быть любое физическое лицо, достигшее к моменту преступной деятельности шестнадцатилетнего возраста. Обязательным условием привлечения лица к уголовной ответственности за совершенное общественно опасное и противоправное деяние является вменяемость. Невменяемые лица не могут подлежать уголовной ответственности (ст. 21 УК РФ).
В том случае, когда неправомерный доступ к охраняемой законом информации осуществляет представитель юридического лица, то ответственности подлежит непосредственный исполнитель этого преступления.
Развитие кредитных учреждений, денежного обращения и кредита повлекло возникновение и рост новых видов злоупотреблений в данной сфере, отсутствовавших раньше, т.к. до 1987 г.
Распространяются и такие новые виды преступлений, как хищения путем несанкционированного входа в компьютерную сеть, с использованием векселей, кредитных карточек.
На первом этапе (1992-1993гг.) доминировали хищения денежных средств банков с использованием фиктивных платежных документов. Второй этап (1993-1994 гг.) характеризовался совершением преимущественно преступлений с использованием финансовых и трастовых компаний. По данным МВД России, “пирамидами” было присвоено не менее 20 трлн. руб., пострадавшими оказались от 3 до 10 млн. граждан.
Уголовным Кодексом Российской Федерации предусмотрено наказание за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273)
Новый УК РФ вводит в оборот новое понятие: “вредоносные программы”.
Под вредоносными программами в смысле ст. 273 УК РФ понимаются программы специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются "компьютерные вирусы" и "логические бомбы".
"Компьютерные вирусы" - это программы, которые умеют воспроизводить себя в нескольких экземплярах, модифицировать (изменять) программу, к которой они присоединились и тем самым нарушать ее нормальное функционирование.
"Логические бомбы" - это умышленное изменение кода программы, частично или полностью выводящее из строя программу либо систему ЭВМ при определенных зараннее условиях, например наступления определенного времени.
Принципиальное отличие "логических бомб" от компьютерных вирусов состоит в том, что они изначально являются частью программы и не переходят в другие программы, а компьютерные вирусы являются динамичными программами и могут распространяться даже по компьютерным сетям.
Объективную сторону данного преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети,1 а равно использование либо распространение таких программ или машинных носителей с такими программами.
Под использованием программы понимается выпуск, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространение по сетям либо путем иной передачи другим лицам.
Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих лицензию на деятельность по защите информации, выданную Государственной технической комиссией при Президенте.
Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием распространения.
3. С субъективной стороны преступление, предусмотренное частью 1 ст.273, может быть совершено только с прямым умыслом, так как в статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.
Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с частью 2 ст. 274 УК РФ деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса.
В случае если установлен прямой умысел охватывающий и наступление тяжких последствий, квалификация данного преступления должна основываться на цели, которая стояла перед виновным, в этом случае создание программы либо внесение изменений в программу будут являться только способом совершения преступления и в этом случае должна применяться п. 2 ст. 17 УК РФ. Субъектом данного преступления может быть любой гражданин, достигший 16 лет.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Компьютерные системы в настоящее время все больше влияют на нашу жизнь и выход из строя ЭВМ, систем ЭВМ или их сети может привести к катастрофическим последствиям, поэтому законодателем установлена уголовная ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы с ЭВМ в ведомстве или организации.
Эти правила должны устанавливаться управомоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свои правила эксплуатации.
Применительно к данной статье под сетью понимается только внутренняя сеть ведомства или организации, на которую может распространяться его юрисдикция. В глобальных сетях типа ИНТЕРНЕТ отсутствуют общие правила эксплуатации, их заменяют этические "Кодексы поведения", нарушения которых не могут являться основанием для привлечения к уголовной ответственности.
Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты, например - государственная, служебная и коммерческая, банковская тайны, персональные данные и т.д.
Объективная сторона данного преступления состоит в нарушении правил эксплуатации ЭВМ и повлекших уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред.
Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными в ст. ст. 272, 273 УК РФ.
УК не дает разъяснений того, что понимается под существенным вредом или тяжкими последствиями, равно как и не дает разъяснений, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, ответы на эти вопросы даст лишь судебная практика…, однако, существенный вред должен быть менее значительным, чем тяжкие последствия1. Между тем уже сегодня можно и нужно обеспечить серьезный подход к вопросам защиты компьютерной информации.
Субъективную сторону части 1 данной статьи характеризует наличие умысла направленного на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по ст. 274 наступает только в случае неосторожных действий.
Умышленное нарушение правил эксплуатации ЭВМ, систем ЭВМ и их сети влечет уголовную ответственность в соответствии с наступившими последствиями и нарушение правил эксплуатации в данном случае становится способом совершения преступления.
Например: Действия специалиста больницы поставившего полученную по сетям программу без предварительной проверки (что говорит о преступной неосторожности) на наличие в ней компьютерного вируса, повлекшее заражение системы и отказ работы систем жизнеобеспечения реанимационного отделения, повлекшее смерть больного должны квалифицироваться по части 2 ст. 274. Подобные действия совершенные умышленно должны квалифицироваться как покушение на убийство.
Субъект данного преступления - специальный, это лицо в силу должностных обязанностей имеющее доступ к ЭВМ, системе ЭВМ и их сети и обязанное соблюдать установленные для них правила эксплуатации.
§ 6. Причины и предупреждения компьютерных преступлений
ХАКЕР – от английского «Hack» - рубить, кромсать. Компьютерный хулиган, проникающий в чужие информационные системы из озорства, с целью овладения информацией, введения в них ложных данных и т.д.1
Считается, что более половины всех компьютерных преступлений совершенно именно хакерами. Как говорится в анекдоте: «в свои 20 лет он знал девять операционных систем и ни одной женщины...
Но, что побуждает их совершать эти деяния.
Как правило, побуждающим фактором к совершению неправомерного доступа к охраняемой законом компьютерной информации является корысть, что, естественно, повышает степень общественной опасности указанного преступления. Так, по данным В. П. Панова, соотношение корысти с другими мотивами преступлений в сфере компьютерной информации составляет 66%.2 В качестве иллюстрации корыстного доступа к компьютерной информации может служить пример, когда лицо путем подбора идентификационного кода (пароля) внедряется в компьютерную сеть, обслуживающую банковские операции, и незаконно перечисляет определенную сумму денежных средств на свой текущий счет.
Наряду с корыстью, анализируемое преступление может совершаться из чувства мести, зависти, хулиганства, желания испортить деловую репутацию конкурента, “спортивного интереса” или желания скрыть другое преступление и т. д.
На 1-й Международной конференции Интерпола по компьютерной преступности хакеры были условно разделены на три группы. К первой относят молодежь 11-15 лет. В основном они совершают кражи через кредитные карточки и телефонные номера, «взламывая» коды и пароли больше из любознательности и самоутверждения. Обычно своими действиями они создают серьёзные помехи в работе сетей и компьютеров. Вторая группа – лица в возрасте 17-25 лет. В основном это студенты, которые в целях повышения своего познавательного (!) уровня устанавливают тесные отношения с хакерами других стран посредством электронных сетей BBS, обмениваясь информацией и похищая ее из различных банков данных. Третья группа – лица в возрасте 30-45 лет – включает в себя хакеров, умышленно совершающих компьютерные преступления с целью получения материальной выгоды, а также ради уничтожения или повреждения компьютерных сетей – так называемый «тип вандал».1
На сегодняшний день не возможно абсолютно (стопроцентно) обезопасить компьютерную информацию от преступных посягательств.
Приведем лишь один пример. Несколько лет назад Пентагон объявил конкурс в целях выяснения расшифровки военного кода, считавшегося совершенно не поддающимся расшифровке. В течение первых двух часов один из студентов с помощью домашнего ЭВМ разгадал код. После конкурса этой игрой увлеклась вся Америка, а группа подростков из штата Милуоки сумела даже обеспечить себе доступ к сверхсекретным данным Министерства обороны.
Прогнозируя побудительные факторы совершения неправомерного доступа к компьютерной информации, обратимся к таблице, составленной Д. Уидомом, для четырех видов мотивов, возможных преступников и предупредительных мер.2
Номер мотива |
Мотив |
Предупредительные меры |
Группы возможных преступников |
1 |
Игнорирование этики |
Общее предупреждение посредством информационной политики |
Профессиональные нарушители режимов эксплуатации компьютеров |
2 |
Корысть (личная нажива) |
Создание неблагоприятных условий для готовящихся преступлений |
Преступники – «любители» в «белых воротничках» |
3 |
Корысть (коррупция) |
надзор |
Высокопоставленные чиновники, эксперты |
4 |
Другие антиобщественные мотивы |
Контроль за доступом в компьютерные системы |
Профессиональные преступники, хакеры, люди с психическими отклонениями |
Прогнозирование ситуации показывает, что рост преступлений в сфере компьютерной информации объясняется следующими факторами:
1. Ростом числа ЭВМ, используемых в России и, как следствие этого, ростом числа их пользователей, увеличением объемов информации, хранимой в ЭВМ. Этому способствует снижение цен на сами компьютеры и периферийное оборудование (принтеры, сканеры, модемы и др.), а также то обстоятельство, что отечественными фирмами налажена самостоятельная сборка компьютеров. По данным журнала “КомпьютерПресс”, в 1996 г. ведущими компаниями (R.&K., Kraftway, DVM Group, R-Style) было выпущено свыше 150000 персональных компьютеров и 10 000 ноутбуков, а весь российский рынок персональных компьютеров оценивался в 1 200 000—1 300 000 компьютеров и 40 000—50 000 ноутбуков1.
2. Недостаточностью мер по защите ЭВМ и их систем, а также не всегда серьезным отношением руководителей к вопросу обеспечения информационной безопасности и защите информации. Примерами этого могут служить факты хищения 125,5 тыс. долл. США в 1991 г. во Внешэкономбанке, попытка хищения 68 млрд. руб. из ГРКЦ ЦБ РФ по Москве, а также еще ряд известных дел, связанных с незаконным проникновением в компьютерные сети учреждений и организаций, где вопросам обеспечения информационной безопасности должного внимания не уделялось.
3. Недостаточностью защиты программного обеспечения (к примеру, в системе Windows 95 недостаточная защищенность программного обеспечения связана с несовершенным алгоритмом шифрования сохраняемых паролей. Сегодня существуют программы расшифровки файлов, содержащих пароли. Они распространены в сети Internet).
4. Недостаточностью защиты самих технических средств защиты компьютерной техники. Например, сегодня для защиты портов персонального компьютера, через которые подключается периферийное оборудование, широко используются специальные электронные ключи [Электронные ключи — небольшие устройства, подключаемые к параллельному или последовательному порту компьютера, через которые происходит соединение с периферийным оборудованием. При этом ключ не влияет на работу порта, он совершенно “прозрачен” для подсоединенных через него устройств.1 Их действие основано на том, что специальная программа периодически проверяет идентификационные (“ключевые”) признаки строго определенного оборудования, при совпадении которых с эталоном обращение к определенному устройству возможно, а при несовпадении устройство становится недоступным. Сегодня существуют методы взлома такой защиты путем эмуляции ключа (перехватываются операции обращения к периферийным устройствам и передаются управляющей программе те данные, которые она должна считать из контролируемого порта, либо дополнительное электронное устройство генерирует такие же выходные значения, как и электронный ключ) или путем взлома с использованием отладчиков, анализирующих логику механизмов защиты и позволяющих получать доступ к устройствам вне зависимости от ключа.
5. Возможностью выхода российских пользователей ЭВМ в мировые информационные сети для обмена информацией, заключения контрактов, осуществления платежей и др. Подобный обмен в настоящее время производится абонентами самостоятельно, без контроля со стороны государственных органов, минуя географические и государственные границы.
6. Использованием в преступной деятельности современных технических средств, в том числе и ЭВМ. Во-первых, организованная преступность включена в крупномасштабный бизнес, выходящий за рамки отдельных государств, где без компьютеров невозможно руководить и организовывать сферу незаконной деятельности. Во-вторых, из организаций, использующих ЭВМ, значительно удобнее “вытягивать” деньги с помощью такой же техники, дающей возможность повысить прибыль и сократить риск.
7. Недостаточной защитой средств электронной почты на пути к адресату сообщение проходит через многочисленные компьютеры, причем часто новым маршрутом [В сети Internet из пяти посланных одному адресату сообщений даже два не проходят одинаковым путем.], к тому же при пересылке почты остается большое число копий, сильно снижающих уровень защиты. Э. Таили пишет “Сначала отправляемая информация сохраняется на жестком диске (копия 1). Если делается резервное копирование, то остается резервная копия (копия 2 и 3 — у владельца компьютера и администратора сети). По пути сообщение пройдет через любое число узлов, теоретически не делающих копий, пока не достигнет сетевого администратора адресата. Там копия помещается в его входной почтовый ящик (копия 4). Его администратор также может сделать резервную копию на ленту (копия 5). Когда адресат получает сообщение, оно записывается на его жесткий диск (копия 6). Если лицо, которому направлена почта, архивирует ее, то сообщение попадет в конечном счете еще на одну или большее количество его лент (копия 7). При таком количестве копий можно с уверенностью сказать, что документ практически не защищен”. 1
8. Небрежностью в работе пользователей ЭВМ. Последние не всегда серьезно относятся к обеспечению конфиденциальности информации и часто пренебрегают элементарными требованиями по ее защите:
не уничтожают секретные файлы с компьютеров общего пользования; наделяют нескольких лиц правом доступа к любым компонентам сети;
устанавливают сетевые серверы в общедоступных местах [Их надо размещать в закрытом помещении, в которое не имеет доступа никто, кроме сетевого администратора.];
небрежно хранят записи паролей;
используют упрощенные пароли, устанавливаемые для защиты информации. К основным недостаткам выбираемых паролей относятся: использование в них своего или чужого имени, фамилии; использование личной информации (дата рождения, номер телефона, название улицы, прозвище и т. д.);
использование профессиональных слов (сотрудники ОВД используют иногда в качестве пароля слова типа “ОРД”, “Криминал” и т. д.); использование повторяющихся символов (типа “888888” или “ЙИЙЙЙ”). Если компьютер подключен к сети или телефонной линии, то лучше не использовать и “реальные” слова, ибо можно подобрать пароль с помощью компьютера. Типичный словарь, используемый в программе проверки орфографии текстового процессора, содержит около 250 тыс. слов. Эти слова с помощью специальных программ можно перепробовать в качестве пароля за несколько минут;
доверяют пароли доступа к информации другим гражданам, например, своим подчиненным, которые в отдельных случаях, обращаются к ней в противоправных целях. Имеет место также ряд упущений организационного характера, к которым можно отнести: неконтролируемый доступ сотрудников и обслуживающего персонала к клавиатуре компьютера; низкий профессионализм или отсутствие служб информационной безопасности, отсутствие должностного лица, отвечающего за режим секретности и конфиденциальность компьютерной информации; отсутствие категорийности допуска сотрудников к машинной информации; отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения конфиденциальной информации; недостаточное финансирование мероприятий по защите информации.
9. Непродуманной кадровой политикой в вопросах приема на работу и увольнения. Здесь показателен пример, имевший место в августе 1983 г. на Волжском автомобильном заводе в г. Тольятти. Следственной бригадой Прокуратуры РСФСР был изобличен программист, который из мести руководству предприятия умышленно внес изменения в программу для ЭВМ, обеспечивающей заданное технологическое функционирование автоматической системы подачи механических узлов на главный сборочный конвейер завода. В результате произошел сбой в работе главного конвейера, и заводу был причинен существенный материальный вред: 200 легковых автомобилей марки “ВАЗ” не сошло с конвейера, пока программисты не выявили и не устранили источник сбоев. При этом материальные потери составили 1 млн. руб. в ценах 1983 г.1 Мировой опыт развития компьютерной техники свидетельствует, что специалисты высокой квалификации, неудовлетворенные условиями или оплатой труда, нередко уходят из компаний для того, чтобы начать собственный бизнес. При этом они “прихватывают” с собой различную информацию, являющуюся собственностью владельцев покидаемой фирмы, включая технологию, список потребителей и т.д. Иными словами, все, что имело какую-либо интеллектуальную ценность, покидало ворота предприятия в дипломатах, нанося при этом многомиллионные убытки.1
10. Низким уровнем специальной подготовки должностных лиц правоохранительных органов, в том числе и органов внутренних дел, которые должны предупреждать, раскрывать и расследовать неправомерный доступ к компьютерной информации. В Академии ФБР (США) с 1976 г. читается специальный трехнедельный курс “Техника расследования преступлений, связанных с использованием ЭВМ”.2 В России же учебные планы высших учебных заведений МВД подобных курсов не содержат.
11. Отсутствием скоординированности в работе государственных и общественных структур в сфере обеспечения информационной безопасности. Деятельность последних охватывает лишь отдельные стороны названной проблемы. Помимо правоохранительных органов (МВД, ФСБ, ФСНП и прокуратуры) вопросами информационной безопасности занимаются Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Федеральное агентство правительственной связи и информации при Президенте РФ, Государственная техническая комиссия при Президенте РФ, министерство связи РФ, Международная академия информатизации.
12. Ограничением на импорт в Россию защищенных от электронного шпионажа компьютеров и сетевого оборудования.1 Чувствительная радиоэлектронная аппаратура позволяет уловить побочные электромагнитные излучения, идущие от незащищенной компьютерной техники, и полностью восстановить обрабатываемую компьютерную информацию. Кроме того, незащищенная аппаратура создает низкочастотные магнитные и электрические поля, интенсивность которых убывает с расстоянием, но способна вызвать наводки в близко расположенных проводах (охранной или противопожарной сигнализации, телефонной линии, электросети, трубах отопления и пр.). Чтобы перехватить низкочастотные колебания незащищенной компьютерной техники, приемную аппаратуру подключают непосредственно к вышеперечисленным коммуникациям за пределами охраняемой территории.
В этих условиях заметно повышается степень риска потери данных, а также возможность их копирования, модификации, блокирования. Причем это не чисто российская, а общемировая тенденция. Не исключено, что в скором времени проблема информационной безопасности и защиты данных станет в один ряд с такими глобальными проблемами современности, как экологический кризис, организованная преступность, отсталость развивающихся стран и др. Согласно опросу, проведенному в США среди менеджеров информационных систем и ответственных за защиту информации2, на вопрос, как изменилась степень риска потери данных за последние 5 лет, 85% респондентов ответили, что она повысилась, 9% ответили, что она снизилась, 6% затруднились ответить. Безопасность работы в сети Internet 40% респондентов оценили как неудовлетворительную, 28% — как удовлетворительную, и затруднились ответить 32% опрошеных. На вопрос, насколько высока угроза компьютерных вирусов, 67% опрошенных заявили, что они пострадали от них в 1996 г., оставшиеся 33%— не пострадали.
Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения, а в идеале — полного недопущения возможности неправомерного доступа к компьютерной информации, хранящейся на машинных носителях; а также к устройствам ввода данных в персональный компьютер и их получения.
Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст. 21 Федерального закона “Об информации, информатизации и защите информации” являются:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
зашита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Для выполнения поставленных задач используются средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений (носящих конфиденциальный характер), средства, в которых они реализованы, а также средства контроля эффективности защиты информации (Ст. 2 Закона “О государственной тайне”). Понятие защиты данных включает в себя как разработку и внедрение соответствующих способов защиты, так и их постоянное использование.
О способах и средствах защиты компьютерной информации уже говорилось в гл. 1 и 2 данного научно-практического пособия.
Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек, необходимо выделить специфические организационные и программно-технические средства их защиты. Организационная защита кредитных карт должна включать, прежде всего, проверку их обеспеченности. Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение. Кроме того, необходимо:
обеспечить секретность в отношении предельных сумм, свыше которых производится проверка обеспеченности карты;
регистрировать все операции с карточками;
ужесточить условия выдачи банками кредитных карт.
Программно-техническая защита электронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков, которые не могут быть скопированы, а также узора из полос, нанесенного магнитными чернилами и запрессованного в материал карточки; использовании радиоактивных изотопов; использовании современных материалов; отказе от видимой на карточке подписи ее владельца.
В соответствии со ст. 21 Закона “Об информации, информатизации и защите информации” контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств зашиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль проводится в порядке, определяемом Правительством Российской Федерации. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
Субъектами, осуществляющими профилактику неправомерного доступа к компьютерной информации, являются:
1. Правоохранительные органы, поскольку профилактическая деятельность составляет обязательную составную часть правоохранительной деятельности. К ним относятся:
суд, прокуратура, органы внутренних дел, налоговой полиции, федеральной службы безопасности.
2. Органы межведомственного контроля: Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Государственная техническая комиссия при Президенте РФ.
3. Отраслевые органы управления: Федеральное агентство правительственной связи и информации при Президенте РФ, министерство связи РФ.
4. Международные органы и общественные организации: Международная академия информатизации; в настоящее время обсуждается вопрос о введении Уполномоченных по защите данных.
5. Непосредственные руководители предприятий и организаций, в которых обращается конфиденциальная компьютерная информация, ответственные сотрудники по информационной безопасности.
7. ЗАКЛЮЧЕНИЕ
Итак, мы раскрыли некоторые преступные действия, которые могут стать не только причиной хищения, модификации или копирования информации, но и в значительной мере дестабилизировать работу АСОИ. И главными действующими лицами при этом выступают люди, которые могут совершать подобные деяния в силу различных обстоятельств. Это могут быть как собственные сотрудники организации, на долю которых приходится большинство противоправных действий, так и посторонние лица, имеющие опосредованное отношение к работе системы.
Как же организовать работу АСОИ так, чтобы предостеречь себя от различных опасностей. Если Вы решите сами заняться этой проблемой, то мы остановимся на некоторых наиболее распространенных способах защиты и программно-аппаратных продуктах.
Одним из основных принципов построения системы защиты является правильное распределение прав доступа к информации и ресурсам сети. Используя возможности программного обеспечения, Вы можете для каждого сотрудника Вашей организации назначить права, соответствующие его статусу, т.е. дать ему право пользоваться только той информацией и только теми ресурсами сети, которые Вы посчитаете достаточными для выполнения своих служебных обязанностей. При этом доступ к остальной информации для него будет ограничен. Причем любые попытки обращения к недоступной для него информации автоматически будут регистрироваться в специальном системном журнале. Эти же программы предусматривают ограничение на совершение различных действий пользователя с данными. Другими словами, пользователь может иметь права на чтение, изменение, удаление, копирование данных. Для дополнительной защиты каждый пользователь имеет свой пароль, который он хранит в тайне от других пользователей и который служит ему пропуском для работы в АСОИ, таким образом, лицо, не имеющее пароля не будет опущено до работы в автоматизированной системе. Описанные программы могут применяться не только для защиты компьютерных сетей, но и для защиты отдельных компьютеров, если они работают в многопользовательском режиме. Для повышения надежности защиты рекомендуется шифровать защищаемую информацию, причем делать это как на стадии ее хранения, так и обработки и передачи. Ограничьте доступ сотрудников и посторонних лиц в те помещения, в которых ведется обработка конфиденциальной информации. В этих целях можно применять замки, вместо ключа использующие магнитные карты или таблетки Touch Memory, где хранятся не только данные о ее владельце, но и "зашита" информация о его правах. Таким образом, Вы можете создать у себя на предприятии систему разграничения доступа в помещения, разрешив каждому сотруднику посещать только те помещения, где его присутствие необходимо или связано с выполнением своих функций, причем подобные ограничения можно внести не только на право посещения тех или иных помещений, но также разрешить посещать их только в определенное время. Попытки нарушить установленный порядок будут автоматически регистрироваться в системном журнале. На рынке программно-аппаратного обеспечения существует ряд продуктов, с помощью которых Вы в той или иной степени можете организовать систему защиты информации. Напомним лишь об одном. Отдавайте предпочтение сертифицированным продуктам. Тем самым Вы оградите себя от различного рода подделок.
8. Использованная литература:
Конституция Российской Федерации (принята 12 декабря 1993 года.)
Закон Российской Федерации "О информации, информатизации и защите информации". (Собр. Законов РФ, N 8.)
Закон Российской Федерации "О государственной тайне" (Российская газета, 1993 г. 21 сентября.)
Собрание законодательства Российской Федерации, 1995, № 8. - Ст. 609.
Актуальные проблемы права, управления и природопользования. Труды НОСиА МНЭПУ. Вып. 1. М.: ПОЛТЕКС 1999. 312с.
Большой толковый словарь русского языка. Составитель – С.А. Кузнецов «НОРИТ» Санкт-Питербург. 1998 г.
Гражданское право. Часть I. Учебник. Под ред. Ю.К. Толстого, А.П. Сергеева. - М.: "Издательство ТЕИС", 1996. С. 190.).
Гражданский кодекс Российской Федерации, Москва 1995 г.
Новое уголовное право России. Особенная часть: Учебное пособие. - М.: Зерцало, ТЕИС, С. 273-274.
Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 4.
Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 34.
Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого. - М.: "Юридическая литература", 1993. С. 24 - 25.
Российское уголовное право. Особенная часть. Под ред. Кудрявцева В.Н., Наумова А.В. – М.: “Юристъ”, 1997. С. 345.
Советское уголовное право. Общая часть. Под ред. Н.А. Беляева и М.И. Ковалева. - М.: “Юридическая литература”, 1977. С. 117.
Уголовное право. Общая часть. Под ред. Кузнецовой Н.Ф., Ткачевского Ю.М., Борзенкова Г.Н. - М.: “МГУ”, 1993. С. 110.
Уголовное право. Общая часть. Учебник Под ред. М.П. Журавлева, А.И. Рарога. - М.: — М.: “ИМПиЭ”, 1996. С. 61.
Уголовное право. Общая часть. Учебник Под ред. Б.В. Здравомыслова, Ю.А. Красикова, А.И. Рарога. - М.: “Юридическая литература”, 1994. С. 160.
Основы борьбы с организованной преступностью. Монография. Под ред. В.С. Овчинского, В.Е. Эминова, М., 1996. С.206
Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 47 - 48.
Собрание актов Президента и Правительства РФ, 1991, № 1.- Ст. 49.
Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 92 - 93.
А. Крутогоров “Транснациональные тенденции развития промышленного шпионажа” БДИ (безопасность, достоверность, информация). — 1996. — № 1. С. 17.
А. Остапенко “По следам Прометея БДИ (безопасность, достоверность, информация). — 1996. — № 1. С. 11.
Безруков Н.Н. Компьютерная вирусология Справочное руководство. Киев, 1991. С. 31-32.
Богатых Е.А. Гражданское и торговое право. - М.: “ИНФРА-М”, 1996. С. 87.
Духов В.Е. Экономическая разведка и безопасность бизнеса. – Киев: “ИМСО МО Украины”, “НВФ “Студцентр””, 1997. С. 82.
Истомин А.Ф. Общая часть уголовного права: Учебное пособие – М.: «ИНФРА-М», 1997. С. 57.; Уголовное право. Общая часть: Учебник. Под ред. Рарога А.И. – М.: «ИМПиЭ», «Триада, Лтд», 1997. С. 71.
Карелина М.М. «Преступления в сфере компьютерной информации»
Куринов Б. А. Научные основы квалификации преступлений. — М.: изд-во МГУ, 1984. — С. 55.
Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. – М.: Новый Юрист, 1998.
Ленин В.И. Отношение к буржуазным партиям. Полное собрание соченений. – 5-е изд. - М.: “ГИПЛ”, 1961. С. 368.
Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления Законность, 1997, № 1. — С. 11.
Магомедов А.А. Уголовное право России. Общая часть: учебное пособие. – М.: «Брандес», «Нолидж», 1997. С. 24.;
Назаренко Г.В. Вина в уголовном праве. - Орел: “ОВШ МВД РФ”, 1996. С. 51.
Наумов А.В. Российское уголовное право. Общая часть. Курс лекций. - М.: “БЕК”, 1996. С. 151.
Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 55 - 56.
Панов В. П. Сотрудничество государств в борьбе с международными уголовными преступлениями.— М., 1993.— С. 14
Петелин Б.Я. Комплексный подход к исследованию субъективной стороны преступления. Советское государство и право. - №6. - 1976. С. 87.
Тер-Акопов А.А. Защита личности — принцип уголовного закона. Современные тенденции развития уголовной политики и уголовного законодательства. – М.: «ИгиП РАН», 1994. С. 52.
Ярочкин В.И. Безопасность информационных систем. – М.: “Ось-89”, 1996. С. 13.
1 Ярочкин В.И. Безопасность информационных систем. – М.: “Ось-89”, 1996. С. 13.
1 См.: Безруков Н.Н. Компьютерная вирусология Справочное руководство. Киев, 1991. С. 31-32.
2 См.: Основы борьбы с организованной преступностью. Монография./Под ред. В.С. Овчинского, В.Е. Эминова, М., 1996. С.206
1 Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма «ЮКИС», 1991. С. 4.
2 Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого. - М.: "Юридическая литература", 1993. С. 24 - 25.
1 Гражданское право. Часть I. Учебник. Под ред. Ю.К. Толстого, А.П. Сергеева. - М.: "Издательство ТЕИС", 1996. С. 190.
1 Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 34.
1 Богатых Е.А. Гражданское и торговое право. - М.: “ИНФРА-М”, 1996. С. 87.
1 Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 49.
1 А. Остапенко “По следам Прометея. БДИ (безопасность, достоверность, информация). — 1996. — № 1. С. 11.
1 Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 88.
1 А. Остапенко “По следам Прометея. БДИ . — 1996. — № 1. С. 11.
2 А. Крутогоров “Транснациональые тенденции развития промышленного шпионажа” БДИ (безопасность, достоверность, информация). — 1996. — № 1. С. 17.
3 Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 92 - 93.
1 Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 47 - 48.
1 Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 55 - 56.
1 Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. / Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 5.
1 Тер-Акопов А.А. «Безопасность человека», МНЭПУ, М.: 1999г.
2 Тер-Акопов А.А. «Безопасность человека», МНЭПУ, М.: 1999г.
3 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. – М.: Новый Юрист, 1998.
1 Конституция Российской Федерации. 1993 г.
1 Российское уголовное право. Особенная часть. Под ред. Кудрявцева В.Н., Наумова А.В. – М.: “Юристъ”, 1997. С. 345.
1 Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления Законность, 1997, № 1. — С. 11.
1 Куринов Б. А. Научные основы квалификации преступлений. — М.: изд-во МГУ, 1984. — С. 55.
1Новое уголовное право России. Особенная часть: Учебное пособие. - М.: Зерцало, ТЕИС, С. 273-274.
1Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления // Законность, 1997, № 1. - С. 9.
1Собрание законодательства Российской Федерации, 1995, № 8. - Ст. 609.
1 Российская газета, 1993, 21 сентября.
1 Российская газета, 1993, 21 сентября.
1 Закон Российской Федерации "О государственной тайне" Российская газета, 1993 г. 21 сентября.
2 Гражданский кодекс Российской Федерации, Москва 1995 г.
3 Закон Российской Федерации "О информации, информатизации и защите информации" Собр. Законов РФ, N 8.
1 Собрание актов Президента и Правительства РФ, 1991, № 1.- Ст. 49.
1 Российские вести, 1992, 20 октября.
1 Ляпунов Ю. И. Общественная опасность деяния как универсальная категория советского уголовного права: Учебное пособие. - М.: ВЮЗШ МВД СССР, 1989.- С. 79.
1 Уголовное право. Общая часть: Учебник. Под ред. Н. И. Ветрова, Ю. И. Ляпунова.— М.: Новый Юрист, КноРус, 1997- С. 217.
1 Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова.— М.: Юристь, 1996.— С. 665.
1 Комментарий к Уголовному кодексу Российской Федерации. Под ред. Ю. И. Скуратова и В. М. Лебедева.— М.: Издательская группа ИНФРА-М—НОРМА, 1996.— С. 640.
2 Панов В. П. Сотрудничество государств в борьбе с международными уголовными преступлениями.— М., 1993.— С. 14.
1 См. комментарий к ст.272 п.1
1 Карелина М.М. «Преступления в сфере компьютерной информации»
1 Большой толковый словарь русского языка. Составитель – С.А. Кузнецов «НОРИТ» Санкт-Питербург. 1998 г.
2 Панов В. П. Сотрудничество государств в борьбе с международными уголовными преступлениями.— М., 1993.— С. 14.
1 См.: Расследование неправомерного доступа к компьютерной информации. Под ред. Н.Г. Шурухнова. Изд-во «Щит-М». Москва 1999. – С. 123.
2 См.: Батурин Ю. М., Жодзишский А. М. Компьютерная преступность и компьютерная безопасность. – М.: Юридическая литература., 1991. – С.43.
1 КомпьютерПресс, 1997, № 6.- С. 93.
1 Подробнее см.: Груздев С. и др. Электронные ключи. Методы защиты и взлома программного обеспечения // КомпьютерПресс, 1997, № 6.- С. 38.
1 См.: Таили Э. Безопасность компьютера. Пер. с англ. Минск, 1997.— С. 201.
1 Федоров В. Компьютерные преступления: выявление, расследование и профилактика // Законность, 1994, № 6.— С. 44.
1 Черных Э., Черных А. “Компьютерные” хищения. Как их предотвратить? //Соц. Юстиция, 1993, № 3.— С. 21—22.
2 Компьютерные преступления и методы борьбы с ними // Проблемы преступности в капиталистических странах.— М.: ВИНИТИ, 1985, № 1.
1 Подробнее см.: Иванов В. П. Защита от электронного шпионажа // Сети и системы связи, 1996, № 3.— С. 110.
2 Computerweek, 1996, № 11.- С. 44.