31
5.8.Меры борьбы с компьютерной преступностью
Всвязи с ростом во Франции количества персональных компьютеров (ПК), используемых как в государственных фирмах, так и в частных компаниях, возросла опасность несанкционированного доступа
кбазам данных, содержащихся в их памяти. Частные службы безопасности приступили к анализу степени риска, угрозе которого подвергаются ПК, и предлагают некоторые меры по обеспечению безопасности данных.
Так, автоматизация рабочих мест сотрудников и создание локальных вычислительных сетей позволили выявить уязвимые места, где имеется опасность незаконного проникновения в массив данных ЭВМ государственных и частных фирм.
Вотличие от больших и средних вычислительных комплексов, ПК, как правило, не располагают, достаточными аппаратами и программными средствами защиты данных от несанкционированного доступа. Сами пользователи часто не осознают реальную опасность подобных махинаций, и поэтому необходима разработка универсальной системы защиты данных.
Винформационных центрах по обработке данных содержится информация, требующая дополнительной обработки и анализа. В то же время на рабочие места сотрудников, обслуживающих ПК, поступают уже готовые к использованию сведения конфиденциального характера, которыми могут воспользоваться посторонние лица. ПК выдает по требованию пользователя в диалоговом режиме всю необходимую информацию, в том числе и в напечатанном виде. ПК может обеспечить связь с любым рабочим местом других сотрудников. Его потенциал очень велик, несмотря на некоторую ограниченность возможностей запоминающих устройств и времени обработки данных.
При организации деятельности по борьбе с несанкционированным доступом в базы данных ПК необходимо уделять внимание следующим аспектам: выявлению лиц, имеющих возможность такого доступа; объектам их воздействия; используемым ими методам; способам противодействия.
Для фирм, производящих ПК, рекомендации службы безопасности состоят в следующем:
– должны постоянно разрабатываться технологии создания новых аппаратных и программных средств защиты баз данных;
32
–крайне важно проводить необходимые организационные мероприятия по совершенствованию имеющихся средств аппаратной и программной защиты данных, что, прежде всего, относится к разработчикам математического обеспечения для ПК.
По данным французских индустриальных служб безопасности, правонарушители располагают большим набором технических средств
испособов их использования, с помощью которых они могут подключаться к информационным сетям и иметь доступ к базам данных:
–процессор ПК и вся периферийная аппаратура (принтеры, накопители на магнитных дисках, лентах и т.д.) могут быть подвержены как непосредственному, так и опосредованному несанкционированному доступу;
–в программы, используемые в ПК, могут быть внесены определенные изменения с целью незаконного получения необходимых данных;
–с помощью доступных средств, используемых при подключении к каналам связи в информационно-вычислительных сетях, в систему могут проникать посторонние лица;
–правонарушения совершаются в основном внутренним техническим персоналом фирм, который обслуживает ЭВМ;
–к другой категории злоумышленников относятся посторонние лица, которые, подключаясь к линиям связи, используют в корыстных целях информацию, содержащуюся в банках данных центральных ЭВМ.
Выявлены следующие процедуры несанкционированного доступа к информации:
–при копировании выходных данных, содержащихся в ПК;
–с помощью ввода специальной подпрограммы (способ «троянского коня»);
–путем использования личного пароля оператора;
–посредством ознакомления с данными, содержащимися в ПК и выведенными на печать;
–путем знакомства с документацией, оставленной без присмотра. Службы промышленной безопасности предлагают следующую
методику организационной структуры фирмы в работе ПК:
– она должна быть построена таким образом, чтобы служащие, имеющие отношение к работе с ПК, располагались отдельно друг от друга;
33
–следует обеспечить ограниченный доступ пользователя к конфиденциальной информации;
–должно фиксироваться всякое обращение в ПК (какие данные, в какое время и кому предоставлялись), после чего эти сведения должны быть проанализированы.
На всех этапах работы сотрудников фирмы с персональным компьютером необходимо тесное взаимодействие с персоналом службы безопасности.
Кроме того, по мнению экспертов по вопросам безопасности, во Франции необходимо дальнейшее совершенствование уголовного законодательства по борьбе с компьютерной преступностью путем повышения эффективности гражданского и уголовного права, выработки новых правил и процедур работы с ЭВМ, исключающих возможность их использования в преступных целях.
Помимо обеспечения безопасности работы с персональным компьютером, французские специалисты предлагают более широкую, комплексную, корпоративную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах фирмы или банка. Разработка такой программы напрямую связана с увеличением в стране количества компьютерных махинаций и преступлений.
Предлагаемая ниже программа по сути является одной из новейших и комплексных систем организационно-технических мероприятий по защите от несанкционированного проникновения в компьютеры. Она имеет следующие основные этапы реализации:
–учет специфики организации, в которой используется данный компьютер;
–охрана рабочих помещений, в первую очередь, аппаратного зала (комнаты);
–генерация или выбор пароля для программы;
–защита информации, касающейся устройства набора номера;
–применениепаролей,состоящих, покрайней мере,изсеми знаков;
–регулярная замена паролей;
–замена заводских идентификационных номеров;
–смена паролей после увольнения служащих фирмы или банка, имевших доступ к компьютеру;
–ограничение доступа рядового персонала к терминалам, имеющим выход на особо важные массивы данных;
34
–эффективный управленческий контроль за персоналом, поскольку большинство компьютерных преступлений совершаются самими сотрудниками;
–периодическая проверка деловых операций и личных счетов сотрудников фирмы или банка.
5.9.Виды защищаемых сведений
5.9.1. Тайна национальной обороны
Проблемы защиты информации во Франции решаются с особой тщательностью, детально и всесторонне. Среди видов тайн в отдельных исследованиях называются: тайна национальной обороны, профессиональная тайна и коммерческие секреты.
Государственные секреты во Франции обозначаются понятием «тайна национальной обороны» (отдельные авторы используют термин «тайна национальной защиты»). Применение такого понятия во многом объясняется использованием общего принципа, в соответствии с которым информация считается в первую очередь фактором национальной обороны и безопасности, и в отношении нее действует требование обеспечения ее секретности без учета того, наносит ли ее разглашение ущерб национальным интересам или нет.
Такой подход нашел применение и в обозначении уровней секретности информации: «очень секретно – оборона», «секретно – оборона», «конфиденциально – оборона».
Вопросы защиты государственной тайны нашли отражение в четвертой книге уголовного кодекса Франции «О преступлениях и проступках против науки, государства и общественного порядка». В соответствии со ст. 413-9 уголовного кодекса характер тайны национальной обороны имеют важные для национальной обороны сведения, технологии, методы, предметы, документы, информационные данные, в том числе содержащиеся в памяти ЭВМ, данные картотек, ставшие объектом специальных защитных мер, предусмотренных соответствующим декретом государственного совета Франции и направленных на исключение их распространения или предоставления недозволенным лицам. В данном определении, в отличие от понятия государственной тайны в РФ, не раскрывается конкретно состав защищаемых областей деятельности государства (военная, внешнеполитическая, экономическая, разведывательная, контрразведывательная, оперативно-разыскная), а указывается только на важность такой
35
информации для национальной обороны, что позволяет расширять состав защищаемых сведений. Особо отличаются данные, содержащиеся в памяти ЭВМ или картотеках, являющиеся объектом защитных мер, что свидетельствует о значимости этого направления работ
вобщей системе мер по защите информации во Франции.
Кпреступным деяниям, связанным с разглашением государственной тайны во Франции, относятся: измена, в том числе посягательства, связанные с передачей иностранной державе секретных сведений о национальной обороне; подстрекательство к измене; шпионаж; действия, направленные на получение незаконного доступа к государственным секретам; обманное проникновение на охраняемый объект; организация скрытой системы получения защищаемой информации; несанкционированное производство зарисовок или фотосъемок в защитной зоне; сбор сведений, не являющихся случайными, но передача информации о совокупности которых может нанести ущерб интересам национальной обороны; умышленное или неосторожное разглашение секретной информации, уничтожение документов или предметовносителей секретной информации лицом, уполномоченным на их хранение; получение, разглашение и уничтожение секретной информации лицом, не имеющим права на доступ к ней; передача изобретений, связанных с интересами национальной обороны; разглашение военной информации, не подлежащей опубликованию; недонесение о деятельности, наносящей вред интересам национальной обороны.
Различие составов измены и шпионажа определяется по субъекту преступления: деяние, совершенное гражданином или военнослужащим Франции, представляет собой измену, а преступление, совершенное гражданином или военнослужащим другой страны, лицом без гражданства рассматривается как шпионаж.
5.9.2. Защита коммерческой тайны
Во Франции защита коммерческой тайны при отсутствии специализированного нормативного акта осуществляется на основе применения общих норм гражданского, трудового и уголовного права. Законодательство Франции включает следующие направления защиты коммерческой тайны:
– в рамках трудовых отношений на работника возлагается обязанность поддерживать режим конфиденциальности информации, при