CC BY
24
Р. В. Амелин
УДК 004.633 (343.34)
ПРОБЛЕМА ПРАВОВОЙ ОЦЕНКИ УНИЧТОЖЕНИЯ ФАЙЛОВ
В СОВРЕМЕННОМ УГОЛОВНОМ ЗАКОНОДАТЕЛЬСТВЕ
Современное уголовное законодательство в сфере компьютерной информации не раз подвергалось критике за слабость понятийного аппарата. Мы хотим указать на малоизученную проблему - на то, как эта слабость приводит к серьезным проблемам при квалификации такого общественно опасного деяния, как уничтожение компьютерных файлов.
Компьютерный файл - это принятая в информатике абстракция, которая обозначает именованную область на машинном носителе информации, в которой могут храниться данные1. С помощью такой абстракции устанавливается связь между именем, которое пользователь или система присваивает некоторой совокупности данных для ее идентификации (имя файла), самими данными и конкретной физической областью машинного носителя (жесткого диска, СО-диска и т.д.), в которой эти данные располагаются. В свою очередь, данные - это информация, представленная в форме, удобной для ее обработки на ЭВМ (как правило, в двоичной форме).
В уголовном законодательстве нет понятия компьютерного файла. Вообще, в федеральном законодательстве термин «файл» встречается лишь дважды. Статья 4 закона от 27 декабря 1991 года № 2124-1 «О средствах массовой информации», декларирующая недопустимость злоупотребления свободой массовой информации, упоминает информационные компьютерные файлы наряду с теле-, видео-, кинопрограммами, документальными и художественными фильмами, запрещая использование в них «скрытых вставок, воздействующих на подсознание людей и (или) оказывающих вредное влияние на их здоровье»2. Этой статье корреспондирует статья 13.15 Кодекса об административных правонарушениях РФ, устанавливающая ответственность за нарушение данного запрета.
По нашему мнению, названные статьи федерачьного законодательства компьютерные файлы попали по ошибке. Очевидно, законодатель под «скрытыми вставками» понимал так называемый «эффект 25-го кадра». Подобные эффекты теоретически могут присутствовать в файлах, предназначенных для построения видеопотока (например, кинофильмы в ОУЭ-формате, ЛаяЬ-ролики, мультимедийные программы и т.д.). Однако компьютерные файлы выступают здесь в той же роли, что и кинолента или видеокассета. Таким образом, законодатель ошибочно смешивает в одном
1 В ОС Unix понятие файла шире и включает в себя устройства ввода - вывода, но для целей данной статьи мы будем пользоваться приведенным определением.
: О средствах массовой информации: ФЗ от 27 декабря 1991 года № 2124-1 // Российская газ. 1992. № 32. 8 февр.
списке принципиально разные элементы содержания и формы (причем форма представлена только файлами).
Итак, мы можем говорить об игнорировании законодательством понятия компьютерных файлов. Между тем зарубежное законодательство оперирует этим понятием уже несколько десятков лет. В качестве примера приведем Конвенцию о защите физических лиц при автоматизированной обработке персональных данных ETS № 108 (Страсбург, 28 января 1981 г.), кстати, не ратифицированную Российской Федерацией.
Глава 28 Уголовного кодекса РФ «Преступления в сфере компьютерной информации» состоит из трех статей. Статья 272 устанавливает ответственность за неправомерный доступ к компьютерной информации. Статья 273 - за создание, использование и распространение вредоносных программ для ЭВМ. Статья 274 описывает такой состав преступления, как нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. В главе 28 УК РФ законодатель использует понятие компьютерной информации. На первый взгляд проблема файлов решена выбором более общего термина. Однако в контексте уничтожения компьютерной информации эта точка зрения оказывается неверной. Компьютерная информация, согласно ст. 272 УК РФ, - это «информация на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети». Определение подвергается заслуженной критике в работах многих авторов [1 — 3]. Прежде всего, законодательно не разъясняется, что именно считать электронно-вычислительной машиной (и не относятся ли к классу ЭВМ, например, сотовые телефоны, способные выполнять программы), чем отличается система ЭВМ от их сети и т.д. По нашему мнению, использование понятия «компьютерная информация» вместо известного науке понятия данных (хотя именно они и подразумеваются по смыслу закона) неудачно. Термин «данные» более универсален и потенциально более широк, поскольку упор в нем делается на форму представления информации, а не на исчерпывающее перечисление ее возможных носителей. Несколько десятков лет назад сетей ЭВМ еще не существовало, но данные уже были.
Уничтожение данных представляется нам весьма актуальной угрозой. Неправомерный доступ к данным может заканчиваться их уничтожением как средством для правонарушителя скрыть следы своего пребывания в системе. Неправомерный доступ может служить и целью уничтожения данных (например, уволенный или обиженный сотрудник компании действует по мотиву мести). В уничтожении данных заключается деструктивная нагрузка многих компьютерных вирусов. И нарушение правил эксплуатации ЭВМ нередко приводит именно к таким последствиям.
Однако в большинстве случаев осуществляется не уничтожение собственно данных (как поступал, например, вирус Kiez, затирая данные случайным мусором), а уничтожение файлов, содержащих эти данные. Казалось бы, законодателем выбран более универсальный подход - способ уничтожения компьютерной информации не имеет значения. Однако ана-
лиз ситуации показывает ошибочность такой точки зрения. Дело в том, что зачастую уничтожение файлов только создает угрозу уничтожения данных, а не уничтожает их.
Структура компьютерного файла отличается в различных файловых системах (FAT, NTFS и др.). Однако все они при удалении файла ведут себя одинаково - содержимое файла, то есть хранящиеся в нем данные, с носителя не стирается. Само понятие «стирания» к таким машинным носителям, как дискеты, винчестеры и проч., неприменимо — общее количество битов, байтов, секторов и кластеров всегда остается одним и тем же. Уничтожение данных могло бы подразумевать заполнение занимаемого ими места нулями или случайным «цифровым мусором», но такая процедура имеет смысл не всегда, однако продолжительна по времени для файлов большого размера. Вместо этого файловая система «ждет», пока на машинном носителе не будут созданы новые файлы и тогда уже «позволит» затереть своим содержимым данные из уничтоженных файлов.
Рассмотрим процедуру удаления файла в файловой системе FAT.
В FAT, как и во многих других файловых системах, все пространство машинного носителя разбивается на блоки равного размера, называемые кластерами. Кластеры нумеруются, начиная с нуля. Каждому файлу отводится целое число кластеров, куда и записываются данные этого файла. Задача файловой системы - определить по имени файла номера кластеров, занятые его данными. Имена файлов хранятся в каталоге. Каталог на самом деле тоже является файлом, имеющим жесткую структуру. Содержимое файла-каталога описывает хранящиеся в нем файлы (в том числе и другие файлы-каталоги), причем каждый файл описывается одной или несколькими (например, для поддержки длинных и коротких имен) файловыми записями. Файловая запись в системе FAT начинается с имени файла и содержит помимо его размера, даты и времени создания и т.п. номер первого кластера, в котором содержатся данные файла.
Чтобы определить номера остальных кластеров файла, которые в общем случае могут располагаться не подряд (такой файл называется фрагментированным), используется структура, называемая таблицей размещения файлов или FAT (отсюда и название системы). На самом деле это не таблица, а линейный упорядоченный список чисел, причем каждое число - номер некоего кластера. Таких элементов в списке ровно столько, сколько кластеров на машинном носителе, то есть позиция элемента в списке тоже соответствует номеру некоего кластера. Элемент списка является нулем, если соответствующий ему кластер (кластер с номером, равным позиции элемента в FAT) не занят никаким файлом. Элемент списка, соответствующий кластеру, занятому файлом, содержит номер того кластера, который является для этого файла следующим. Кластер, которым заканчивается файл, помечается в FAT специальной сигнатурой.
При обращении к файлу файловая система находит его имя в списке соответствующего каталога и узнает из каталоговой записи номер первого
кластера файла. Элемент таблицы FAT с номером, равным номеру первого кластера, содержит номер второго кластера файла и так далее. Восстановив всю цепочку кластеров для файла, система может обработать все содержащиеся в нем данные (например, вывести на экран).
Когда файл удаляется, его кластеры помечаются как свободные (т.е. элементы FAT с их номерами становятся равными нулю). Содержимое файла - данные - остаются нетронутыми. Кагалоговая запись, описывающая удаленный файл, также не затирается, а просто помечается как недействительная - первый символ этой записи (то есть первая буква имени файла) затирается символом «х».
Таким образом, при удалении компьютерного файла реально уничтожается лишь его структура, причем, как правило, лишь частично. Об уничтожении компьютерной информации при этом говорить нельзя. Оно произойдет лишь после того, как в кластеры, где хранится эта информация, ныне помеченные как свободные, запишутся данные новых файлов.
Как же квалифицировать уничтожение файла применительно к компьютерной информации? На наш взгляд, уместен будет термин «сокрытие». Причем осуществить это сокрытие можно и другим способом, например, переименовав и переместив файл в другой каталог. Очевидно, ни копирования, ни модификации, ни уничтожения информации опять-таки не происходит. Из существующего в уголовном праве понятийного аппарата ближе всего подойдет термин «блокирование», законодательного определения которого мы снова не находим. Мы определим блокирование как такое состояние данных, при которых они невредимы, но доступ к ним управомоченных пользователей невозможен. Только в отличие от блокирования при сокрытии информации квалифицированный пользователь может восстановить доступ, воспользовавшись программами поиска файлов по их содержимому, если файл переименован, или утилитами восстановления (например, Norton UnErase), если он уничтожен.
Отметим, что если файл был фрагментирован, то есть его данные располагались на машинном носителе в несмежных кластерах, утилиты восстановления не дадут желаемого результата. Все они работают, исходя из обратного предположения. Поскольку в таблице размещения файлов больше нет информации, позволяющей восстановить всю цепочку кластеров данного файла, а количество кластеров на современном машинном носителе исключает возможность ручного анализа, восстановить фрагменти-рованный файл невозможно в принципе. Тем не менее данные в момент после уничтожения файла остаются на диске в неприкосновенности.
Преступление, чтобы являться таковым, должно содержать все признаки состава преступления. Составы преступлений, предусмотренных ст. 272 и 274 сконструированы как материальные. Это значит, что одним из признаков преступления является причинная связь между деянием и последствием. Уничтожение файла, очевидно, является условием уничтожения компьютерной информации, но не является его причиной. Непосред-
ственной причиной будет затирание данных новыми файлами, возможно, в результате правомерных действий совсем другого пользователя. По ст. 273 УК РФ ответственность наступает уже по факту создания вредоносной программы, но в определении вредоносной программы фигурирует то же самое спорное уничтожение информации.
Все вышесказанное создает существенные трудности на пути отправления правосудия. Неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ для ЭВМ, а также нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшие за собой уничтожение важных компьютерных файлов, могут оказаться неквалифицируемыми по современному законодательству, особенно при участии грамотного в техническом отношении адвоката.
Очерченная нами проблема решаема. Одно из наиболее подходящих, на наш взгляд, решений заключается в добавлении в диспозиции статей 28-й главы упоминания о файлах. Например, в диспозиции ст. 272 указать: «...если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации или файлов». Слова «компьютерной информации» должны остаться, поскольку данные могут существовать не только в виде файлов, но, например, в виде пакетов, пересылаемых по сети Интернет.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Нехорошее А. Б. Компьютерные преступления: квалификация, расследование, экспертиза / Под ред. В. Н. Черкасова. Саратов: СЮИ МВД России, 2003. Ч. ].
2. Преступления в сфере компьютерной информации: квалификация и доказывание: Учеб. пособие / Под ред. Ю. В. Гаврилина. М.: ЮИ МВД РФ, 2003.
3. Расследование неправомерного доступа к компьютерной информации. Учеб. пособие. 2-е изд., доп. и перераб. / Под ред. Н. Г. Шурухнова. М.: Моск. ун-т МВД России, 2004.
УДК 007.3
К. В. Банников
ТЕОРИЯ И ПРАКТИКА СОЗДАНИЯ ПРОГРАММНЫХ ПРОДУ КТОВ
Главные характеристики программного продукта это: стоимость, скорость разработки, функциональные возможности, надежность, сопро-вождаемость.
Этапы ведения проекта [1]:
1) анализ задачи;
2) создание эскизов проекта, различающихся по характеристикам; выбор подходящего варианта;
