Файл: Контрольные вопросы по теме. Список рекомендованной литературы Глава Предмет и методы информационного права Объективные основания для формирования отрасли информационного права.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 722
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
частной жизни, защите прав интеллектуальной собственности, обеспечению органами власти прав граждан на доступ к информации, создаваемой на деньги налогоплательщиков, и другие. Практически все проблемы, связанные с феноменом Интернет, могут быть успешно решены только в результате объединения усилий мирового сообщества.
Координационный Центр расследования происшествий с компьютерной безопасностью
(CERT/CC), который ведет некоторую статистику о числе инцидентов, расследованных им после его создания в 1988 г., считает, что Интернет очень уязвим к атакам. Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. На уровень риска могут повлиять следующие факторы: число систем в сети; какие службы используются в сети; способ соединения сети с Интернетом; профиль сети и степень ее известности; степень готовности организации к улаживанию инцидентов с компьютерной безопасностью. Чем больше систем в сети, тем труднее контролировать их безопасность, так же как, если сеть соединена с
Интернетом в нескольких местах, то она будет более уязвима, чем сеть с одним шлюзом.
По мнению ряда авторов, Интернет и информационная безопасность несовместны по самой природе Интернет. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов ТСРЛР и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, военные и т. д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Координационный Центр расследования происшествий с компьютерной безопасностью
(CERT/CC), который ведет некоторую статистику о числе инцидентов, расследованных им после его создания в 1988 г., считает, что Интернет очень уязвим к атакам. Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. На уровень риска могут повлиять следующие факторы: число систем в сети; какие службы используются в сети; способ соединения сети с Интернетом; профиль сети и степень ее известности; степень готовности организации к улаживанию инцидентов с компьютерной безопасностью. Чем больше систем в сети, тем труднее контролировать их безопасность, так же как, если сеть соединена с
Интернетом в нескольких местах, то она будет более уязвима, чем сеть с одним шлюзом.
По мнению ряда авторов, Интернет и информационная безопасность несовместны по самой природе Интернет. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов ТСРЛР и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, военные и т. д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
1 ... 44 45 46 47 48 49 50 51 ... 59
Платой за пользование Интернет является всеобщее снижение
информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию интранет, ставят фильтры (fire-wall) между внутренней сетью и Интернет, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола ТСРЛР и доступ в
Интернет через шлюзы.
8
Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения. Для решения этих и других вопросов при переходе к новой архитектуре
Интернет предлагают: ликвидировать физическую связь между будущей Интернет (которая превратится во
Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через системуWorld Wide Web; заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров
Ethernet, при котором процесс коммутации сводится к простой операции сравнения МАС- адресов; перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (МАС-уровень), привязанное к географическому расположению сети, и позволяющее создать адреса в рамках 48-бит.
В качестве разновидности такого шлюза при доступе в Интернет предлагается использовать брандмауэры. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации
вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервисы. В зависимости от необходимой степени безопасности выделяют три разновидности подключения информационных систем к Интернет.
Первый пример - для организаций, которые решили не ограничивать свое взаимодействие с
Интернетом, целесообразно выделить наиболее важные данные и обрабатывать их отдельно.
Второй пример (типовой) - внутренние и внешние системы разделяются с помощью брандмауэра (обычно используется шлюз, присоединенный к двум сетям или хост- бастион), когда большинство интернетовских служб доступны внутренним пользователям, а с помощью криптографии создаются виртуальные частные сети или туннели в Интернете.
Третий пример - для организаций с высокими требованиями безопасности рекомендуется иметь свой информационный узел в Интернете, который не соединен с внутренними информационными системами.
Дальнейшее развитие Интернет в России сдерживается не только состоянием технической базы, но и отсутствием государственной политики, определяющей роль, место и формы участия органов государственной власти в Интернет. Стремительное развитие Интернет опережает процесс создания и совершенствования соответствующей нормативно-правовой базы. Анализ отечественного законодательства показывает, что в этой области пока не обеспечивается эффективное регулирование.
В этих целях необходимы следующие меры
9
:
1) принять законодательные меры поддержки развития национальных сетей связи, в первую очередь широкополосных, высокоскоростных и спутниковых каналов, обеспечивающих современный технологический уровень передачи информации; отечественных сервис-провайдеров и производителей коммуникационного оборудования для обеспечения национальных интересов при использовании Интернет в России;
2) разработать модельный Кодекс поведения в Интернет;
3) всемерно поддерживать инициативы, направленные на создание программных и технических средств, позволяющих осуществлять доступ в Интернет, а также блокирование или сокрытие оскорбительных и непристойных материалов в сетях
Интернет;
4) ускорить разработку федеральной программы обеспечения информационной безопасности компьютерных сетей, включая развитие системы подготовки и переподготовки кадров;
5) создать систему подготовки судей (в том числе и арбитражных судов) по проблемам нарушений прав интеллектуальной собственности и компьютерных преступлений, а также подготовки специалистов по расследованию компьютерных преступлений для МВД, ФСБ и Прокуратуры РФ и специалистов по информационной безопасности;
6) определить функции государственных органов по регулированию использования
Интернет, имея в виду разделение функций разработки и эксплуатации информационных систем и функций контроля за состоянием этих систем, а также расследования нарушений в этой сфере;
7) создать негосударственный центр (или систему центров) для проведения научных исследований в области разработки средств защиты информации и сертификации этих средств, с функциями аналитического мониторинга этой области знаний, информирования пользователей всех уровней об угрозах, мерах противодействия и оперативной помощи в случаях нарушения информационной безопасности;
8) привлекать внебюджетные источники инвестиций, включая иностранные, обеспечивая при этом национальную независимость российского телекоммуникационного пространства;
Первый пример - для организаций, которые решили не ограничивать свое взаимодействие с
Интернетом, целесообразно выделить наиболее важные данные и обрабатывать их отдельно.
Второй пример (типовой) - внутренние и внешние системы разделяются с помощью брандмауэра (обычно используется шлюз, присоединенный к двум сетям или хост- бастион), когда большинство интернетовских служб доступны внутренним пользователям, а с помощью криптографии создаются виртуальные частные сети или туннели в Интернете.
Третий пример - для организаций с высокими требованиями безопасности рекомендуется иметь свой информационный узел в Интернете, который не соединен с внутренними информационными системами.
Дальнейшее развитие Интернет в России сдерживается не только состоянием технической базы, но и отсутствием государственной политики, определяющей роль, место и формы участия органов государственной власти в Интернет. Стремительное развитие Интернет опережает процесс создания и совершенствования соответствующей нормативно-правовой базы. Анализ отечественного законодательства показывает, что в этой области пока не обеспечивается эффективное регулирование.
В этих целях необходимы следующие меры
9
:
1) принять законодательные меры поддержки развития национальных сетей связи, в первую очередь широкополосных, высокоскоростных и спутниковых каналов, обеспечивающих современный технологический уровень передачи информации; отечественных сервис-провайдеров и производителей коммуникационного оборудования для обеспечения национальных интересов при использовании Интернет в России;
2) разработать модельный Кодекс поведения в Интернет;
3) всемерно поддерживать инициативы, направленные на создание программных и технических средств, позволяющих осуществлять доступ в Интернет, а также блокирование или сокрытие оскорбительных и непристойных материалов в сетях
Интернет;
4) ускорить разработку федеральной программы обеспечения информационной безопасности компьютерных сетей, включая развитие системы подготовки и переподготовки кадров;
5) создать систему подготовки судей (в том числе и арбитражных судов) по проблемам нарушений прав интеллектуальной собственности и компьютерных преступлений, а также подготовки специалистов по расследованию компьютерных преступлений для МВД, ФСБ и Прокуратуры РФ и специалистов по информационной безопасности;
6) определить функции государственных органов по регулированию использования
Интернет, имея в виду разделение функций разработки и эксплуатации информационных систем и функций контроля за состоянием этих систем, а также расследования нарушений в этой сфере;
7) создать негосударственный центр (или систему центров) для проведения научных исследований в области разработки средств защиты информации и сертификации этих средств, с функциями аналитического мониторинга этой области знаний, информирования пользователей всех уровней об угрозах, мерах противодействия и оперативной помощи в случаях нарушения информационной безопасности;
8) привлекать внебюджетные источники инвестиций, включая иностранные, обеспечивая при этом национальную независимость российского телекоммуникационного пространства;
9) создать Российский центр по распределению адресного пространства в целях оптимизации развития сетевой инфраструктуры и оптимизации использования сетей, а также для обеспечения контроля адресного пространства Интернет в России;
10) активизировать российское участие в подготовке международных актов (особенно в рамках ЕС и СНГ) о развитии общедоступных компьютерных сетей, подготовку и принятие единых правил их использования, а также инициировать со стороны России разработку двусторонних межгосударственных соглашений в этой области.
1
Беляев С. Т. - директор Института общеядерной физики в РНЦ "Курчатовский институт", академик Российской академии наук. Из выступления на парламентских слушаниях в
Государственной Думе РФ. Материалы парламентских слушаний в Государственной Думе
РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.
2
Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.; Волчинская Е. К., Терещенко Л., Якушев М. Интернет и гласность. М., 1999. С. 14-15.
3
Сегодня в мире накоплено более 54 млн гипертекстовых документов. Эта информация, в первую очередь, относится к бизнесу, экономике, культуре, развлечениям. Мы отстаем по количеству информации, размещаемой в сети, от североамериканских штатов более чем в
100 раз, а по числу пользователей в 50 раз. В настоящее время наиболее популярной частью Интернет является то, что называют Всемирной информационной паутиной (World-
Wide Web). По сведениям американских экспертов, ежегодно Всемирная информационная паутина растет чуть менее чем в два раза. Рост в США составляет 100%, в России - 200-
300%. По оценкам экспертов из Релкома, Роцита, Демоса, "Russia on line" и академических сетей, услугами разнообразных видов электронной почты в нашей стране пользуются более миллиона человек. Ежегодно число пользователей электронной почтой увеличивается примерно в два раза. Их количество возрастает ежегодно в 2 раза (без учета тех пользователей, которые получают доступ к Всемирной информационной паутине со своих рабочих мест из корпоративных сетей).
4
В Интернет различают три уровня. Первый уровень (чисто технический, сетевой) - это глобальное объединение десятков тысяч различных компьютерных коммуникационных сетей с более 6 млн компьютеров совершенно разного статуса, но на основе единых протоколов и единой системы адресации. На этом уровне возможности Интернет используют и закрытые системы (ведомственные, государственные, фирменные, профессиональные и так далее), которые между собой связь ведут по тем же самым каналам, сервисным сетевым программам. Второй уровень (сервисный) - программные средства, обеспечивающие различный сетевой сервис. Это и обслуживание, и возможности передавать почту, и передача данных, и режим удаленного терминала, и поиск банка данных, и всемирная паутина, которая принесла возможность использования гипертекста, средства мультимедиа. Благодаря этому уровню объединения все появляющиеся новые программные сервисные продукты становятся достоянием всей Интернет. Третий уровень
(информационный) - это информация разного типа, разного значения, которая циркулирует в сети (конференции, передача новостей, банки данных, биржевые, торговые, банковские операции, информационные агентства, электронные научные журналы, которые сегодня уже функционируют, путеводители по Интернет и так далее). Хотя, следуя технократическому подходу, информация по-прежнему включена здесь в состав собственно информационной системы, но с позиций права, изложенных выше, мы будем в дальнейшем рассматривать Интернет как информационную систему, состоящую только из первых двух компонентов.
5
Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г.; Волчинская Е. К., Терещенко Я, Якушев М. Интернет и гласность. М., 1999. С. 14-15.
6
Подробнее см.: Лопатин В. Н. Информационная безопасность и сеть Интернет
//Тематическая серия: нормативная база вузовской науки. Годичное собрание научной общественности высшей школы России 3-5 марта 1998 года. Спецвыпуск. Тверь, 1998. С.
39-45.
7
Барбара Гутман, Роберт Бэгвилл. Политика безопасности при работе в Интернете- техническое руководство. М., 1997.
8
Закурдаев С. В. Internet и проблема информационной безопасности / Информационные системы. 1996. № 6. С. 96.
9
Материалы парламентских слушаний в Государственной Думе РФ "Россия и Интернет: выбор будущего" 17 декабря 1996 г
15.4. Правовая защита информационных систем и прав на них
Правовая защита информационных систем и прав на них осуществляется по выбору субъекта правоотношений в административном порядке (в случаях, прямо установленных в законе: например, для пресечения монополистической деятельности и недобросовестной конкуренции предусматривается жалоба в федеральный антимонопольный орган) либо по общему правилу - в судебном порядке (суд, арбитражный суд или третейский суд). Защита прав субъектов в сфере разработки, производства и применения информационных систем осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба. Для рассмотрения конфликтных ситуаций и защиты прав участников в сфере создания и использования информационных систем могут создаваться временные и постоянные третейские суды. Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах. Отказ в доступе к информационным системам международного информационного обмена может быть обжалован в суды
Российской Федерации, если собственник или владелец данной системы международного информационного обмена находится под юрисдикцией Российской Федерации, либо в международный коммерческий арбитраж. Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.
Ответственность за нарушения международных норм и правил в области создания и использования информационных систем возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных
Российской Федерацией.
В случае противоправных действий субъектов правоотношений в этой области органы исполнительной власти Российской Федерации и ее субъектов, осуществляющие контроль за международным информационным обменом, могут приостановить его на любой стадии до двух месяцев, что может быть обжаловано в суд.
Законом установлено, что за противоправные действия нарушители несут гражданско- правовую, административную или уголовную ответственность.
Безусловно, жертвы компьютерных правонарушений могли бы получать удовлетворение по гражданским искам. Однако гражданский процесс эффективен лишь в том случае, если правонарушители имеют достаточные имущественные ценности для удовлетворения иска.
Поэтому неотвратимость наказания возможна лишь при наличии уголовных санкций, когда правонарушения переводятся (криминализуются) в разряд преступлений. При оценке необходимости криминализовать то или иное деяние руководствуются определенными правилами, принципами криминализации, в числе которых, в частности, называются: общественная значимость деяния и социально обусловленная возможность следования запрету на его совершение; массовость, типичность и устойчивость проявления деяний;
соответствие запрета Конституции и соразмерность положительных и отрицательных последствий криминализации; процессуальная осуществимость контроля за исполнением запрета.
В то же время, в Уголовном кодексе Российской Федерации предусмотрена ответственность за правонарушения в этой области только в гл. 28 (ст. 272 - неправомерный доступ к компьютерной информации; ст.
273 - создание, использование и распространение вредоносных программ для ЭВМ; ст. 274
- нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети). Кроме того, к компьютерным преступлениям могут быть отнесены и другие преступления, связанные с посягательством на информационные права субъектов, на неприкосновенность частной жизни, на права в отношении объектов интеллектуальной собственности, на права, связанные с защитой от "вредной" информации. Поэтому, в уголовном праве, по- видимому, следует наряду с признаками компьютерных преступлений, отраженными в гл.
28 УК РФ, выделять особенности выявления и пресечения и других преступлений, которые могут совершаться в информационных компьютерных системах.
В настоящее время пока не выработано окончательно общепринятого определения термина "компьютерное преступление" или использующегося наряду с ним термина "связанное с компьютером преступление", хотя всеми признается, что такое явление существует.
Дискуссии экспертов, пытающихся сформулировать это определение, не дают положительного результата, так как намерения авторов быть точными в отношении сферы применения конкретных определений приводят к тому, что при их использовании вне контекста возникают неточности. В отсутствии общего определения компьютерного преступления стали нормой действующие функциональные определения. К компьютерным преступлениям относят совершенные с помощью вычислительной техники, традиционные по характеру преступные деяния такие, как кража, мошенничество, подделка и причинение вреда, за которые предусматриваются уголовные санкции в законодательных системах всех стран. Но имеется и множество других потенциально новых деяний, связанных с неправильным употреблением или злоупотреблением компьютерными системами, за совершение которых может и должно устанавливаться уголовное наказание.
В 1989 г. Комитет по проблемам преступности Совета Европы разработал ряд директив для национальных законодателей, где были перечислены уголовно наказуемые преступные деяния. Комитет не дал формального определения компьютерного преступления и оставил за странами возможность самим приспособить функциональные характеристики деяний к специфическим национальным юридическим системам и историческим традициям.
Следует отметить, что часто используются такие не являющиеся синонимами, термины, как "неправильное использование компьютера" (computer misuse) и "злоупотребление компьютером" (computer abuse). Но любые уголовные законы, касающиеся компьютерных преступлений, должны делать различия между неправильным применением компьютерной системы по небрежности и преднамеренным несанкционированным доступом к компьютерной системе (или использованием компьютерной системы), составляющим компьютерное злоупотребление. Иными словами, уголовные законы должны отличать поведение, вызывающее раздражение, от преступного. При определении преступного поведения ведущую роль играет принцип наличия права. Например, служащий, получивший пароль от нанимателя без инструкции относительно возможности доступа к определенной базе данных, вряд ли может быть признан виновным в совершении преступления, если ознакомился с ней. Однако такой принцип неприменим к тому же самому служащему, если, для того чтобы получить доступ к той же самой базе, он украл пароль у своего коллеги или если ему известно, что доступ к базе данных запрещен. В этом случае поведение служащего считается преступным. При оценке поведения необходимо делать различия между неэтичностью и незаконностью. Только в том случае, когда точно
В то же время, в Уголовном кодексе Российской Федерации предусмотрена ответственность за правонарушения в этой области только в гл. 28 (ст. 272 - неправомерный доступ к компьютерной информации; ст.
273 - создание, использование и распространение вредоносных программ для ЭВМ; ст. 274
- нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети). Кроме того, к компьютерным преступлениям могут быть отнесены и другие преступления, связанные с посягательством на информационные права субъектов, на неприкосновенность частной жизни, на права в отношении объектов интеллектуальной собственности, на права, связанные с защитой от "вредной" информации. Поэтому, в уголовном праве, по- видимому, следует наряду с признаками компьютерных преступлений, отраженными в гл.
28 УК РФ, выделять особенности выявления и пресечения и других преступлений, которые могут совершаться в информационных компьютерных системах.
В настоящее время пока не выработано окончательно общепринятого определения термина "компьютерное преступление" или использующегося наряду с ним термина "связанное с компьютером преступление", хотя всеми признается, что такое явление существует.
Дискуссии экспертов, пытающихся сформулировать это определение, не дают положительного результата, так как намерения авторов быть точными в отношении сферы применения конкретных определений приводят к тому, что при их использовании вне контекста возникают неточности. В отсутствии общего определения компьютерного преступления стали нормой действующие функциональные определения. К компьютерным преступлениям относят совершенные с помощью вычислительной техники, традиционные по характеру преступные деяния такие, как кража, мошенничество, подделка и причинение вреда, за которые предусматриваются уголовные санкции в законодательных системах всех стран. Но имеется и множество других потенциально новых деяний, связанных с неправильным употреблением или злоупотреблением компьютерными системами, за совершение которых может и должно устанавливаться уголовное наказание.
В 1989 г. Комитет по проблемам преступности Совета Европы разработал ряд директив для национальных законодателей, где были перечислены уголовно наказуемые преступные деяния. Комитет не дал формального определения компьютерного преступления и оставил за странами возможность самим приспособить функциональные характеристики деяний к специфическим национальным юридическим системам и историческим традициям.
Следует отметить, что часто используются такие не являющиеся синонимами, термины, как "неправильное использование компьютера" (computer misuse) и "злоупотребление компьютером" (computer abuse). Но любые уголовные законы, касающиеся компьютерных преступлений, должны делать различия между неправильным применением компьютерной системы по небрежности и преднамеренным несанкционированным доступом к компьютерной системе (или использованием компьютерной системы), составляющим компьютерное злоупотребление. Иными словами, уголовные законы должны отличать поведение, вызывающее раздражение, от преступного. При определении преступного поведения ведущую роль играет принцип наличия права. Например, служащий, получивший пароль от нанимателя без инструкции относительно возможности доступа к определенной базе данных, вряд ли может быть признан виновным в совершении преступления, если ознакомился с ней. Однако такой принцип неприменим к тому же самому служащему, если, для того чтобы получить доступ к той же самой базе, он украл пароль у своего коллеги или если ему известно, что доступ к базе данных запрещен. В этом случае поведение служащего считается преступным. При оценке поведения необходимо делать различия между неэтичностью и незаконностью. Только в том случае, когда точно