CC BY
111
5. Педсовет: профилактика ксенофобии и развитие толерантных установок // URL:http://www.c-
psy.ru/index.php/administarators/psyhologiyaupravleniya/pedsovet /106212011-05-24-15-23-28
Богомолов А.Н.
ПРОБЛЕМЫ, СВЯЗАННЫЕ С ПРЕОДОЛЕНИЕМ СРЕДСТВ КОМПЬЮТЕРНОЙ ЗАЩИТЫ
Воронежский экономико-правовой институт
Ключевые слова: компьютерная защита, информационная безопасность, банковские системы, юридическая защита.
Аннотация: работа посвящена проблемам компьютерной безопасности банковских систем на государственном уровне, защите неправомерного вмешательства к информации.
Keywords: computer security, information security, banking systems, legal protection.
Abstract: It is devoted to the problems of computer security of banking systems at the national level, protection of undue interference information.
В соответствии со Стандартом ЦБ РФ ИББС-1.0-2010 в основе концептуальной схемы информационной безопасности банков лежит противоборство собственника и злоумышленника с целью получения полного контроля над информационными активами на уровне бизнес-процессов, если последнему удается получить такой контроль, кредитной организации и ее клиентам наносится ущерб. Наиболее актуальным источником угрозы информационной безопасности на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений являются лица, разрабатывающие или распространяющие вредоносные программные коды, осуществляющие попытки несанкционированного доступа к банковским информационным системам.
Сведения конфиденциального характера обладают ограниченным доступом, относительно таких сведений управомоченным лицом должны быть приняты меры специальной защиты таких сведений[1].
С целью защиты информации от несанкционированного доступа и копирования в кредитной организации применяются средства криптографической защиты информации, предназначенные для защиты информации при ее обработке, хранении и передаче по каналам
связи (СКЗИ). Обеспечение информационной безопасности банка с помощью СКЗИ должно соответствовать нормативным документам, регламентирующим вопросы эксплуатации СКЗИ и технической документации СКЗИ лицензионным требованиям ФСБ России [2].
В соответствии с ГОСТ 2817-89 алгоритм криптографического преобразования предназначен для аппаратной или программной реализации, удовлетворяет криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации[3]. Криптографический алгоритм можно определить как математическую функцию, которая используется для шифрации и дешифрации данных.
В кредитных организациях криптографическое шифрование данных применяется для защиты банковских информационных систем, микропроцессорных карт (симметричный алгоритм Data Encryption Standard и асимметричный Rivest, Shami, Adleman)[4].
Расчеты платежными поручениями и аккредитивами осуществляются на основе, в том числе и компьютерных технологий с помощью электронной подписи, удостоверяющей полномочия ее владельца на операции по банковскому счету. Для защиты электронной подписи применяются криптографические средства защиты информации.
Юридическую силу имеют электронные документы, подписанные электронной подписью - информацией, представленной в электронной форме, присоединенной к подписываемой информации в электронной форме или связанной с такой информацией, использующейся для определения правомочности лица, подписывающего информацию. Она служит действенной мерой защиты банковских документов и при соблюдении определенных условий электронная подпись считается равнозначной собственноручной подписи в документе на бумажном носителе[5]. Сертификат ключа проверки электронной подписи подтверждает принадлежность ключа электронной подписи владельцу сертификата.
Попытку подделки подписи с помощью программных средств для анализа и преодоления систем криптографической защиты информации называют «атакой». Атака может быть с использованием открытого ключа, на основе известных сообщений (используются известные допустимые подписи набора электронных документов), адаптивная атака выбранного электронного документа. Результаты атаки: полный взлом электронной подписи, универсальная подделка подписи, выборочная подделка, экзистенциальная подделка[6].
С помощью вредоносных компьютерных программ, методов социальной инженерии крекеры проникают в компьютер пользователя удаленного доступа к банковским услугам «Клиент-Банк» и копируют секретный ключ электронной подписи, пароль для работы в сети. На основе электронной подписи формируется платежное поручение и в банк фактически представляется платежное поручение полностью соответствующее российскому законодательству за электронной подписью настоящего владельца о переводе денежных средств. Ответственность за операцию по счету с помощью составления документа, защищенного электронной подписью, несет владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим ключом электронной подписи, позволяющим с помощью средств электронной подписи создавать свою электронную подпись в электронных документах.
Несмотря на актуальность проблем, связанных с преодолением средств компьютерной защиты в научной литературе им не уделяется должного внимания. В диссертационных исследованиях авторы в основном предлагают изменить название гл. 28 УК, дополнить ее новыми составами преступлений, совершаемыми в сети Интернет, свои варианты редакций ст. 272-274 УК РФ[7]. М.В. Старичков выделяет группу преступлений, связанных с преодолением программно-технических средств защиты программ для ЭВМ с целью их копирования и использования контрафактных экземпляров, но здесь речь идет о нарушении авторских и смежных прав (ст. 146 УК РФ)[8].
В гл. 28 УК РФ не предусмотрена специальная норма об ответственности за преодоление средств компьютерной защиты. С позиции уголовного законодательства действия, направленные на преодоление средств компьютерной защиты охватываются понятием «неправомерный доступ», А.Н. Копырюлин разделяет эту точку зрения[9].
Под неправомерным доступом к охраняемой законом компьютерной информации понимается возможность проникновения в информационные системы, получение и использование информации, содержащейся в них, т.е. реализованная угроза информационной безопасности, выражающаяся в несанкционированном ознакомлении субъекта преступления с защищенной законом компьютерной информацией[10].
Неправомерный доступ к компьютерной информации может осуществляться без использования компьютерных устройств в качестве инструмента для проникновения в информационную систему и воздействию на нее, и с использованием компьютерных и коммуникационных устройств[11].
Неправомерному доступу к компьютерной информации в случае использования компьютерных и коммуникационных устройств предшествует деятельность крекера, направленная на преодоление средств компьютерной защиты с помощью методов несанкционированного доступа[12]. С.А. Середа выделяет семь этапов преодоления систем защиты программного обеспечения, которые могут быть отнесены и к атакам на информационные системы: определение цели атаки; поиск проявлений системы защиты; предварительный анализ работы защищенного продукта; предварительный анализ кода программного продукта, определение типа защиты и локализация системы защиты; оценка стойкости и слабых мест системы защиты для выбора оптимального способа ее преодоления; направленное исследование системы защиты; преодоление системы защиты[13].
В ст. 272 УК ответственность наступает за ознакомление, копирование, уничтожение, блокирование, модификацию компьютерной информации. Действия крекера, направленные на преодоление средств компьютерной защиты должны выделяться в самостоятельный состав.
В.С. Карпов обоснованно предлагает установить ответственность за изготовление и сбыт специальных средств для получения несанкционированного доступа к компьютерной системе или сети [14]. Включение в гл. 28 УК РФ специальной статьи не только за изготовление и сбыт специальных средств для получения несанкционированного доступа к компьютерной системе или сети, но и за преодоление средств компьютерной защиты в рамках ст. 2722 УК поможет на ранней стадии предотвратить преступления, связанные с неправомерным доступом охраняемой законом компьютерной информации.
Непосредственным объектом ст. 2722 УК будут общественные отношения, обеспечивающие информационную безопасность, права владельца компьютерной системы на неприкосновенность информации. Общественная опасность выражается в реальной возможности ознакомления с помощью указанных действий с защищаемой законом компьютерной информацией.
Объективная сторона выражается в действиях, направленных на преодоление злоумышленником различных средств компьютерной защиты.
Основной состав предлагаемой ст. 2722 УК - преодоление средств компьютерной защиты в целях неправомерного доступа к охраняемой законном компьютерной информации с санкцией аналогичной ч. 1 ст. 272 УК РФ - штрафом в размере до ста тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двенадцати месяцев, либо исправительными работами на срок до шести месяцев, либо лишением свободы на срок до одного года.
Субъективная сторона нового состава преступления будет характеризоваться прямым умыслом, т.е. виновный должен осознавать общественно опасный характер совершаемого деяния, и желать его совершения. Субъект преступного посягательства - вменяемое лицо, достигшее 16 лет.
Список литературы
1. Об утверждении Перечня сведений конфиденциального характера: указ Президента РФ от 06.03.1997 г. № 188 // СЗ РФ. 1997. № 10. Ст. 1127.
2. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: СТО БР ИББС-1.0-2010 от 21.06.2010 г. // Вестник Банка России. 2010. № 36-37.
3. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования: ГОСТ 28147-89; введ. 01.07.1990.
4. Голдовский И.М. Банковские микропроцессорные карты. - М.: ЦИПСиР: Альпина Паблишерз, 2010. С. 166-182, 264.
5. Об электронной подписи: федеральный закон от 06.04.2011 г. № 63-ФЗ // СЗ РФ. 2011. № 15. Ст. 2036.
6. Goldwasser S., Micali S., Rivest R. A digital signature scheme secure against adaptive chosen-message attacks. // SIAM Journal on Computing. -1988. - 17(2). - S. 281-308.
7. Айсанов М.Н. Состав неправомерного доступа к компьютерной информации в российском, международном и зарубежном уголовном законодательстве: Автореф. дис. ... канд. юрид. наук. - М., 2006. С. 68.
8. Старичков М.В. Умышленные преступления в сфере компьютерной информации: уголовно-правовая и криминологическая
характеристика: Автореф. дис. ... канд. юрид. наук. - Иркутск, 2006. С. 20.
9. Копырюлин А.Н. Преступления в сфере компьютерной информации: уголовно-правовой и криминологический аспекты: Автореф. дис. ... канд. юрид. наук. - Тамбов, 2007. С. 7-8.
10. Практика применения Уголовного кодекса Российской Федерации: комментарий судебной практики и доктринальное толкование / Под ред. Г.М. Резника. - М.: Волтерс Клувер, 2005.
11. Криминалистика: учебник. - изд. 2-е, испр. и доп. / Под ред. Е.П. Ищенко. - М.: Инфра-М, 2005. С. 399-408.
12. Мазуров В.А. Компьютерные преступления: классификация и способы противодействия: учебно-практическое пособие. - М.: Палео-тип, Логос, 2002. С. 70-74.
13. Середа С.А. Этапы преодоления систем защиты программного обеспечения // Иформост «Радиоэлектроника и телекоммуникации». -№ 6(30). - 2003. - С. 16-20.
14. Карпов В.С. Уголовная ответственность за преступления в сфере компьютерной информации: Автореф. дис. ... канд. юрид. наук. - Красноярск, 2002. С. 11.
Борискова И.В.
ТИПОЛОГИЯ ПОЛИТИЧЕСКИХ СИСТЕМ
Воронежский экономико-правовой институт
Ключевые слова: политические системы, классификация политических систем, типологизация.
Аннотация: в статье рассмотрена классификация политических систем, проведен сравнительный анализ типологий.
Keywords: political systems, political systems, classification, typology.
Abstract: The article deals with the classification of political systems, the comparative analysis of the typologies.
В политической и юридической литературе существуют различные классификации политических систем, которые основаны на разнообразных критериях: характер общественного строя, политический режим, форма государства, господствующая в обществе идеология.
