Биографическая справка || РАН о Моисееве || Статьи Моисеева || Статьи о Моисееве || Сайты ]
[ Контакты для связи || Конференция "Эволюция Инфосферы" || Виртуальный форум || Трибуна Форума || Голос Чернобыля || Точная Механика || Наши Гости ]
[ Гостевая книга || Пишите нам || На главную страницу || Виртуальный магазин || Поиск ]



 

 

 

е-Право


 

·        Е. Николаев О концепции построения системы информационного права

·       Система технических регламентов для критических объектов информатизации

·       Международная конференция "Правовая информатизация" :: Доклады (Содержание)

·       Воронов И.А., Некоторые проблемы действующего законодательства по вопросам уголовной ответственности за преступления в сфере использования электронно-вычислительных машин


Система технических регламентов для критических объектов информатизации



Ю.В. Бородакий, директор ФГУП "Концерн "Системпром", чл.-корр. РАН
А.Ю. Добродеев, начальник управления комплексной информационной безопасности ФГУП "Концерн "Системпром", к.т.н.
Б.П. Пальчун, руководитель проекта по безопасности компьютерной   инфосферы > ФГУП "Концерн "Системпром", к.т.н.

Таков парадокс развития современного общества: с одной стороны, без компьютеризации невозможен прогресс человечества в сфере высоких технологий, с другой - компьютерная < инфосфера > представляет собой неиссякаемый источник угроз техносфере цивилизации, да и самому человечеству.

Исходя из этого ФГУП "Концерн "Системпром" разработал и опубликовал в "Вестнике технического регулирования" (№ 1(2), январь, 2004 г.) проект общего технического регламента "Обеспечение безопасности государства, общества и личности при использовании систем (продукции) с компьютерной обработкой информации". Целью документа является создание законодательной основы для обеспечения защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственной или муниципальной собственности, охраны окружающей среды, а также предупреждение действий, вводящих в заблуждение приобретателей при использовании систем (продукции) с компьютерной обработкой информации. Объектом технического регулирования для целей применения общего технического регламента служит компьютерная < инфосфера >, включая ее фрагменты критической системы.

Общий порядок

Данный регламент требует выполнения следующей процедуры.

Сначала устанавливается принадлежность системы к разряду критических, что определено в нормативных правовых актах Российской Федерации, действующих на момент принятия общего технического регламента, а равно и вводимых в действие в последующем.

Затем заказчику критической системы следует определить требования к степени надежности и безопасности функционирования заказываемой системы с учетом минимизации риска причинения вреда и, исходя из перечня, приведенного в Приложении, выявить наличие факторов, которые могут содержать угрозы безопасности компьютерной < инфосфере >.

Разработчик критической системы должен установить требования к степени надежности функционирования компьютерной < инфосферы >, а разработчик компьютерной < инфосферы > - обеспечить возможность их достижения и обязательно представить заказчику доказательства. При этом разработчик компьютерной < инфосферы > должен иметь сертификат качества производства и подтверждение соответствия - либо в форме принятия декларации о соответствии, либо в форме обязательной сертификации. В особых случаях заказчик имеет право потребовать только сертификацию.

В ситуации, когда уровень научно-технического развития, состояние соответствующей научно-методической базы, недостаточность информации о системе, ее компьютерной < инфосфере >, технологии их создания, возможных угрозах или иные факторы не позволяют определить степень допустимого риска причинения вреда, обязательные требования не задаются. Тогда в документацию на систему и отдельно на ее компьютерную < инфосферу > вносится предупреждение приобретателю о возможном вреде и о факторах, от которых он зависит. При этом система и отдельно ее компьютерная < инфосфера > маркируются соответствующим символом. Требования общего технического регламента устанавливаются в отношении всех критических систем (продукции), а также тех систем (продукции), результаты функционирования которых могут вводить в заблуждение приобретателей.

Для достижения цели общего технического регламента важно выполнение на всем жизненном цикле соответствующих требований к аппаратным и программным средствам компьютерной обработки информации, а также интерфейсных требований систем (продукции), использующих эти средства.

Положения предлагаемого общего технического регламента влияют на критические системы компьютерной обработки информации в оборонной сфере. В соответствии со ст. 5 Федерального закона "О техническом регулировании" к таким системам задаются обязательные требования в порядке, установленном Правительством РФ. В то же время в п. 4 указанной статьи определено, что эти предписания не должны противоречить нормам технических регламентов. В силу этого все критические системы с компьютерной обработкой информации в оборонной сфере попадают под действие предлагаемого общего технического регламента.

Связующее звено

Разработанный проект общего технического регламента в случае его принятия:

  создает нормативно-правовую базу обеспечения безопасности от возможных компьютерогенных угроз;

  является недостающим звеном между Федеральным законом "О техническом регулировании" и профильными специальными техническими регламентами.

Принятие и реализация предлагаемого общего технического регламента позволит обеспечить на должном уровне безопасность государства, общества и личности при использовании систем с компьютерной обработкой информации. Очевидно, что выполнение необходимых мероприятий, проводимых в соответствии с требованиями этого регламента, повлечет за собой временные, организационные, технические и финансовые затраты. Чтобы уменьшить их и повысить эффективность всех мероприятий по обеспечению безопасности, целесообразно принять взаимосвязанную систему специальных технических регламентов. ФГУП "Концерн "Системпром" планирует разработку следующих регламентов:

  автоматизированные системы управления критическими системами;

  безопасность информации компьютерной < инфосферы >;

  требования к безопасному программному обеспечению электронных вычислительных машин;

  архитектура программного обеспечения автоматизированных систем в защищенном исполнении;

  системы защиты информации от несанкционированного доступа;

  средства защиты баз данных от несанкционированного доступа;

  требования к криптографическим методам защиты информации;

  безопасные ИПИ (CALS-технологии);

  требования к специсследованиям и спецпроверкам информационных систем.

При этом предлагается использовать основные принципы создания системы специальных технических регламентов (ССТР) в области обеспечения информационной безопасности.


Основные принципы создания ССТР

  полнота;

  непротиворечивость;

  ламинарность;

  комплементарность;

  метрологичность;

  конролируемость;

  публичность.


Полнота подразумевает охват ССТР абсолютно всех объектов информатизации критического применения при всем известном на текущий момент спектре угроз этим объектам.

Непротиворечивость означает, что технические регламенты, входящие в ССТР, не содержат взаимных противоречий.

Ламинарность ССТР обеспечивается тем, что положения каждого технического регламента, входящего в систему, не повторяются в других, а могут использоваться только в качестве ссылки.

Комплементарность достигается взаимодополнением всех технических регламентов, входящих в ССТР.

Метрологичность означает, что во всех технических регламентах, входящих в ССТР, требования, касающиеся учета степени риска, задаются в виде количественных показателей и критериев с соблюдением всех метрологических норм.

Контроль необходим для подтверждения соответствия, в частности, обязательной сертификации.

Публичность всех процедур создания ССТР обусловлена не только духом и буквой Федерального закона "О техническом регулировании", но и необходимостью учета интересов и пожеланий всех субъектов (ведомств, структур, организаций, объединений, физических и юридических лиц), использующих системы (продукцию) с компьютерной обработкой информации.

С целью обеспечения безопасности

Схема определения необходимой и достаточной конфигурации ССТР предусматривает: " составление исчерпывающего перечня объектов информатизации критического применения; " определение полного перечня факторов угроз информационной безопасности критическим объектам информатизации; " фиксацию применительно к каждому объекту из данного перечня факторов (в соответствии с Приложением), которые могут содержать угрозы безопасности компьютерной < инфосфере  критических систем (продукции); " кластеризацию объектов информатизации критического применения по их сочетаемости и по факторам угроз (с использованием методов кластерного анализа); " интеграцию кластеризованных объектов информатизации критического применения с целью минимизации количества технических регламентов, входящих в ССТР; " публичное обсуждение проекта ССТР.

Решение этой сложной проблемы напрямую зависит от уровня совершенства соответствующего научно-теоретического базиса.

По нашему мнению, необходимо принять около 70 специальных технических регламентов в области обеспечения безопасности компьютеризированных критических систем. И если эта деятельность по формированию оптимальной конфигурации ССТР не станет целенаправленной, неуправляемый эвристический процесс разработки специальных технических регламентов может увеличить количество таких законопроектов до нескольких сотен. Подобный вариант развития событий, безусловно, осложнит работу Государственной Думы и не будет, в конечном итоге, способствовать обеспечению безопасности в техносфере, которая в настоящее время практически полностью компьютеризирована


Воронов И.А., Некоторые проблемы действующего законодательства по вопросам уголовной ответственности за преступления в сфере использования электронно-вычислительных машин


 

XXI век знаменуется вступлением человечества в новую информационную эпоху своего развития, которая характеризуется развертыванием новейшей информационно-телекоммуникационной революции, быстрым распространением информационных технологий, глобализацией общественных процессов, международной конвергенцией. Под влиянием информатизации всех сфер социума формируется  глобальная информационно-коммуникационная среда жизни, общения и производства, которая получила название инфосфера. Информационно-телекоммуникационная революция создает  благоприятные возможности для формирования и развития сетевых структур в различных областях общественной жизни: политике, экономике, науке, образовании, культуре и быту. В связи с внедрением в различные сферы жизни и экономической деятельности информационных технологий возникла опасность информационных угроз [1]. Пробудились десятилетиями дремавшие под надзором и запретом законов государства гены предпринимательства, авантюризма, мошенничества, криминальных наклонностей,  сепаратизма, национализма, религиозного фанатизма и т.п.

Общественно опасные деяния в области информационных правоотношений получили название “преступления в сфере компьютерной информации”.

К ним относят преступные действия, совершенные с помощью  вычислительной техники и средств телекоммуникаций, в которых объектом преступных посягательств   выступают общественные информационные отношения. Прогнозируется дальнейший рост зависимости жизнедеятельности национальных инфраструктур от процессов информатизации, вхождение Украины в единый информационный простор, а значит, и распространение криминогенных процессов связанных с противоправным использованием компьютерных технологий. Анализ отечественного законодательства позволяет утверждать, что Украина предпринимает меры для  противодействия преступлениям в сфере информации. Достаточно назвать  Указ Президента Украины от 31 июля  2000 года ”О мероприятиях по развитию национальной составной глобальной информационной сети Интернет и обеспечение широкого доступа к этой сети в Украине”, Проект Концепции стратегии и тактики борьбы с компьютерной преступностью в Украине, а также раздел XVI “Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей принятого нового Уголовного кодекса Украины [2].

Рассмотрим действующие уголовно-правовые основы борьбы с преступлениями в сфере компьютерной информации. Начнем с того, что диспозиция статьи 361 "Незаконное вмешательства в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей" нового УК Украины не предусматривает уголовной ответственности за такое последствие незаконного вмешательства, как блокирование информации, т.е. невозможность получения доступа к компьютерной информации ее законному пользователю при сохранности самой информации в памяти ЭВМ. Ее разблокирование осуществляется как в результате чьих-либо действий, так и автоматически по истечении определенного промежутка времени. От блокирования компьютерной информации сле­дует отличать вывод из строя компьютерной программы либо ее искажение. Во втором слу­чае программа для ЭВМ может быть доступна как организованная в виде файла информация, но не как объект взаимодействия с пользователем.

Далее, статьи действующего Уголовного кодекса не в полной мере охватывают спектр общественно опасных действий, которые условно называются "преступления в сфере компьютерной информации". Учитывая возможность новых проявлений преступлений в сфере использования электронно-вычислительных машин, полагаем целесообразным внести изменения в действующий УК Украины, а именно Главу III "Преступления, его виды и стадии"  дополнить статьей  "Преступления, совершенные с применением информационных технологий" следующего содержания: "За совершение преступлений, предусмотренных Уголовным кодексом Украины, с применением информационных технологий, компьютерных систем и сетей ответственность назначается по статьям Особенной части, которые предусматривают ответственность за данные преступления".        

В качестве  вывода отметим, что эффективная борьба с преступлениями в сфере компьютерной информации, предусматривает прежде всего оптимальное сочетание правовых и профилактических мероприятий, совершенствование уголовного законодательства, разработку норм, устанавливающих ответственность за преступления в сфере компьютерной информации,  и реально  применяющихся  в практической деятельности.

 

1.       1.       Пархомов. В.А. К определению понятия “Информационное преступление”. Вестник ИГЭА, №2, 2001 г.

2.       2.       Кримінальний кодекс України (прийнятий сьомою сесією Верховної Ради України 5 квітня 2001 р.). —К., Офіційний вісник України, 2001. —С.105-106.

 

 

 

 

 

Назад Наверх


Биографическая справка || РАН о Моисееве || Статьи Моисеева || Статьи о Моисееве || Сайты ]
[ Контакты для связи || Конференция "Эволюция Инфосферы" || Виртуальный форум || Трибуна Форума || Голос Чернобыля || Точная Механика || Наши Гости ]
[ Гостевая книга || Пишите нам || На главную страницу || Виртуальный магазин || Поиск ]